GitHub iddeċieda li jwaqqaf l-appoġġ għal TLS 1.0 u 1.1 fir-repożitorju tal-pakkett NPM u s-siti kollha assoċjati mal-maniġer tal-pakkett NPM, inkluż npmjs.com. Mill-4 ta 'Ottubru, il-konnessjoni mar-repożitorju, inkluż l-installazzjoni ta' pakketti, se teħtieġ klijent li jappoġġja mill-inqas TLS 1.2. Fuq GitHub innifsu, l-appoġġ għal TLS 1.0/1.1 twaqqaf lura fi Frar 2018. Jingħad li l-motiv huwa tħassib għas-sigurtà tas-servizzi tiegħu u l-kunfidenzjalità tad-dejta tal-utent. Skont GitHub, madwar 99% tat-talbiet għar-repożitorju tal-NPM diġà saru bl-użu ta' TLS 1.2 jew 1.3, u Node.js inkluda appoġġ għal TLS 1.2 mill-2013 (minn ir-rilaxx 0.10), għalhekk il-bidla se taffettwa biss porzjon żgħir ta' utenti.
Ejja nfakkru li l-protokolli TLS 1.0 u 1.1 ġew ikklassifikati uffiċjalment bħala teknoloġiji obsoleti mill-IETF (Internet Engineering Task Force). L-ispeċifikazzjoni TLS 1.0 ġiet ippubblikata f'Jannar 1999. Seba 'snin wara, l-aġġornament TLS 1.1 ġie rilaxxat b'titjib tas-sigurtà relatat mal-ġenerazzjoni ta' vettori ta 'inizjalizzazzjoni u padding. Fost il-problemi ewlenin ta 'TLS 1.0/1.1 hemm in-nuqqas ta' appoġġ għal ċifraturi moderni (per eżempju, ECDHE u AEAD) u l-preżenza fl-ispeċifikazzjoni ta 'rekwiżit biex jappoġġja ċifraturi qodma, li l-affidabbiltà tagħhom hija dubitata fl-istadju attwali ta ' żvilupp ta 'teknoloġija tal-kompjuters (per eżempju, appoġġ għal TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA huwa meħtieġ biex jiċċekkja l-integrità u l-awtentikazzjoni użi MD5 u SHA-1). L-appoġġ għal algoritmi skaduti diġà wassal għal attakki bħal ROBOT, DROWN, BEAST, Logjam u FREAK. Madankollu, dawn il-problemi ma kinux ikkunsidrati direttament vulnerabbiltajiet tal-protokoll u ġew solvuti fil-livell tal-implimentazzjonijiet tiegħu. Il-protokolli TLS 1.0/1.1 infushom m'għandhomx vulnerabbiltajiet kritiċi li jistgħu jiġu sfruttati biex iwettqu attakki prattiċi.
Sors: opennet.ru