GitHub သည် NPM ပက်ကေ့ချ်သိုလှောင်မှုတွင် TLS 1.0 နှင့် 1.1 အတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းရန်နှင့် npmjs.com အပါအဝင် NPM ပက်ကေ့ဂျ်မန်နေဂျာနှင့် ဆက်စပ်သည့်ဆိုက်များအားလုံးကို ရပ်ဆိုင်းရန် ဆုံးဖြတ်ခဲ့သည်။ ပက်ကေ့ဂျ်များထည့်သွင်းခြင်းအပါအဝင် repository သို့ ချိတ်ဆက်ခြင်းမှာ အောက်တိုဘာလ 4 ရက်နေ့မှစတင်၍ အနည်းဆုံး TLS 1.2 ကို ပံ့ပိုးပေးသော client တစ်ခု လိုအပ်မည်ဖြစ်ပါသည်။ GitHub ကိုယ်တိုင်တွင် TLS 1.0/1.1 အတွက် ပံ့ပိုးမှုကို ဖေဖော်ဝါရီ 2018 တွင် ရပ်ဆိုင်းခဲ့သည်။ ရည်ရွယ်ချက်မှာ ၎င်း၏ ဝန်ဆောင်မှုများ၏ လုံခြုံရေးနှင့် သုံးစွဲသူဒေတာများ၏ လျှို့ဝှက်ရေးတို့အတွက် စိုးရိမ်စရာဖြစ်သည်ဟု ဆိုသည်။ GitHub အရ NPM repository သို့ တောင်းဆိုချက်များ၏ 99% ခန့်သည် TLS 1.2 သို့မဟုတ် 1.3 ကိုအသုံးပြုပြီးဖြစ်ပြီး Node.js သည် TLS 1.2 အတွက် 2013 ခုနှစ်ကတည်းက (0.10 ထွက်ရှိကတည်းက) အတွက် ပံ့ပိုးမှုပါ၀င်လာသောကြောင့် ပြောင်းလဲမှုသည် အနည်းငယ်သောအပိုင်းကိုသာ သက်ရောက်မှုရှိမည်ဖြစ်သည်။ အသုံးပြုသူများ။
TLS 1.0 နှင့် 1.1 ပရိုတိုကောများကို IETF (Internet Engineering Task Force) မှ အသုံးမပြုတော့သော နည်းပညာများအဖြစ် တရားဝင် ခွဲခြားသတ်မှတ်ထားကြောင်း သတိရကြပါစို့။ TLS 1.0 သတ်မှတ်ချက်ကို ဇန်နဝါရီလ 1999 ခုနှစ်တွင် ထုတ်ပြန်ခဲ့သည်။ ခုနစ်နှစ်အကြာတွင်၊ TLS 1.1 အပ်ဒိတ်ကို ကနဦးထည့်သွင်းခြင်း vectors နှင့် padding မျိုးဆက်များနှင့်ဆက်စပ်သော လုံခြုံရေးတိုးတက်မှုများဖြင့် ထုတ်ဝေခဲ့သည်။ TLS 1.0/1.1 ၏ အဓိကပြဿနာများထဲတွင် ခေတ်သစ် ciphers (ဥပမာ၊ ECDHE နှင့် AEAD) အတွက် ပံ့ပိုးမှု မရှိခြင်းနှင့် အဟောင်း ciphers များကို ပံ့ပိုးရန် လိုအပ်ချက်၏ သတ်မှတ်ချက်တွင် ရှိနေခြင်း၊ လက်ရှိအဆင့်တွင် မေးခွန်းထုတ်ခံရသော ယုံကြည်စိတ်ချရမှု၊ ကွန်ပြူတာနည်းပညာ ဖွံ့ဖြိုးတိုးတက်ရေး (ဥပမာ၊ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ၏ ခိုင်မာမှုကို စစ်ဆေးရန်နှင့် စစ်မှန်ကြောင်းအထောက်အထားပြရန် MD5 နှင့် SHA-1 ကို အသုံးပြုသည်)။ ခေတ်မမီသော အယ်လဂိုရီသမ်များအတွက် ပံ့ပိုးမှုသည် ROBOT၊ DROWN၊ BEAST၊ Logjam နှင့် FREAK ကဲ့သို့သော တိုက်ခိုက်မှုများသို့ ဦးတည်နေပြီဖြစ်သည်။ သို့သော်လည်း ဤပြဿနာများသည် ပရိုတိုကော အားနည်းချက်များကို တိုက်ရိုက်မယူဆဘဲ ၎င်း၏ အကောင်အထည်ဖော်မှုအဆင့်တွင် ဖြေရှင်းခဲ့သည်။ TLS 1.0/1.1 ပရိုတိုကောများသည် လက်တွေ့ကျသော တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် အသုံးချနိုင်သည့် အရေးကြီးသော အားနည်းချက်များ မရှိပါ။
source: opennet.ru