GitHub telah memutuskan untuk menghentikan sokongan untuk TLS 1.0 dan 1.1 dalam repositori pakej NPM dan semua tapak yang dikaitkan dengan pengurus pakej NPM, termasuk npmjs.com. Mulai 4 Oktober, menyambung ke repositori, termasuk memasang pakej, memerlukan pelanggan yang menyokong sekurang-kurangnya TLS 1.2. Pada GitHub sendiri, sokongan untuk TLS 1.0/1.1 telah dihentikan pada Februari 2018. Motif itu dikatakan kebimbangan terhadap keselamatan perkhidmatannya dan kerahsiaan data pengguna. Menurut GitHub, kira-kira 99% permintaan kepada repositori NPM telah dibuat menggunakan TLS 1.2 atau 1.3, dan Node.js telah menyertakan sokongan untuk TLS 1.2 sejak 2013 (sejak keluaran 0.10), jadi perubahan hanya akan menjejaskan sebahagian kecil daripada pengguna.
Mari kita ingat bahawa protokol TLS 1.0 dan 1.1 telah diklasifikasikan secara rasmi sebagai teknologi usang oleh IETF (Internet Engineering Task Force). Spesifikasi TLS 1.0 telah diterbitkan pada Januari 1999. Tujuh tahun kemudian, kemas kini TLS 1.1 telah dikeluarkan dengan penambahbaikan keselamatan yang berkaitan dengan penjanaan vektor permulaan dan pelapik. Antara masalah utama TLS 1.0/1.1 ialah kekurangan sokongan untuk sifir moden (contohnya, ECDHE dan AEAD) dan kehadiran dalam spesifikasi keperluan untuk menyokong sifir lama, yang kebolehpercayaannya dipersoalkan pada peringkat semasa pembangunan teknologi pengkomputeran (contohnya, sokongan untuk TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukan untuk menyemak integriti dan pengesahan menggunakan MD5 dan SHA-1). Sokongan untuk algoritma lapuk telah pun membawa kepada serangan seperti ROBOT, DROWN, BEAST, Logjam dan FREAK. Walau bagaimanapun, masalah ini tidak secara langsung dianggap sebagai kelemahan protokol dan telah diselesaikan pada tahap pelaksanaannya. Protokol TLS 1.0/1.1 sendiri tidak mempunyai kelemahan kritikal yang boleh dieksploitasi untuk melakukan serangan praktikal.
Sumber: opennet.ru