GitHub heeft besloten de ondersteuning voor TLS 1.0 en 1.1 in de NPM-pakketrepository en op alle NPM-gerelateerde sites, waaronder npmjs.com, te stoppen. Vanaf 4 oktober is voor het maken van verbinding met de repository, inclusief het installeren van pakketten, een client vereist die minimaal TLS 1.2 ondersteunt. GitHub zelf is in februari 1.0 gestopt met de ondersteuning van TLS 1.1/2018. Als motief wordt aangevoerd dat het bedrijf zich zorgen maakt over de veiligheid van hun diensten en de privacy van gebruikersgegevens. Volgens GitHub worden ongeveer 99% van de verzoeken aan de NPM-repository al gedaan via TLS 1.2 of 1.3, en Node.js biedt al sinds 1.2 ondersteuning voor TLS 2013 (vanaf de release van 0.10). De wijziging heeft dus alleen invloed op een klein deel van de gebruikers.
Laten we niet vergeten dat de protocollen TLS 1.0 en 1.1 door de IETF (Internet Engineering Task Force) officieel zijn geherclassificeerd als verouderde technologieën. De TLS 1.0-specificatie werd in januari 1999 gepubliceerd. Zeven jaar later werd TLS 1.1 uitgebracht met beveiligingsverbeteringen met betrekking tot het genereren van initialisatievectoren en opvulling. Tot de belangrijkste problemen van TLS 1.0/1.1 behoren onder meer het ontbreken van ondersteuning voor moderne cijfers (bijvoorbeeld ECDHE en AEAD) en de aanwezigheid in de specificatie van een vereiste om oude cijfers te ondersteunen, waarvan de betrouwbaarheid in de huidige ontwikkelingsfase van de computertechnologie twijfelachtig is (ondersteuning voor TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA is bijvoorbeeld vereist, MD5 en SHA-1 worden gebruikt voor integriteitscontrole en authenticatie). Ondersteuning voor verouderde algoritmes heeft al geleid tot aanvallen zoals ROBOT, DROWN, BEAST, Logjam en FREAK. Deze problemen waren echter geen directe kwetsbaarheden van het protocol en werden opgelost op het niveau van de implementaties. De TLS 1.0/1.1-protocollen bevatten zelf geen kritieke kwetsbaarheden die voor praktische aanvallen kunnen worden misbruikt.
Bron: opennet.ru
