GitHub heeft besloten de ondersteuning voor TLS 1.0 en 1.1 te beëindigen in de NPM-pakketrepository en alle sites die zijn gekoppeld aan de NPM-pakketbeheerder, inclusief npmjs.com. Vanaf 4 oktober is voor het verbinden met de repository, inclusief het installeren van pakketten, een client vereist die minimaal TLS 1.2 ondersteunt. Op GitHub zelf werd de ondersteuning voor TLS 1.0/1.1 in februari 2018 stopgezet. Het motief zou bezorgdheid zijn over de veiligheid van zijn diensten en de vertrouwelijkheid van gebruikersgegevens. Volgens GitHub wordt ongeveer 99% van de verzoeken aan de NPM-repository al gedaan met behulp van TLS 1.2 of 1.3, en heeft Node.js sinds 1.2 (sinds release 2013) ondersteuning voor TLS 0.10 opgenomen, dus de wijziging zal slechts een klein deel van de aanvragen beïnvloeden. gebruikers.
Laten we niet vergeten dat de TLS 1.0- en 1.1-protocollen officieel zijn geclassificeerd als verouderde technologieën door de IETF (Internet Engineering Task Force). De TLS 1.0-specificatie werd in januari 1999 gepubliceerd. Zeven jaar later werd de TLS 1.1-update uitgebracht met beveiligingsverbeteringen met betrekking tot het genereren van initialisatievectoren en opvulling. Een van de belangrijkste problemen van TLS 1.0/1.1 is het gebrek aan ondersteuning voor moderne cijfers (bijvoorbeeld ECDHE en AEAD) en de aanwezigheid in de specificatie van een vereiste om oude cijfers te ondersteunen, waarvan de betrouwbaarheid in de huidige fase van de ontwikkeling in twijfel wordt getrokken. ontwikkeling van computertechnologie (ondersteuning voor TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA is bijvoorbeeld vereist om de integriteit te controleren en authenticatie gebruikt MD5 en SHA-1). Ondersteuning voor verouderde algoritmen heeft al geleid tot aanvallen als ROBOT, DROWN, BEAST, Logjam en FREAK. Deze problemen werden echter niet direct als kwetsbaarheden in het protocol beschouwd en werden opgelost op het niveau van de implementatie ervan. De TLS 1.0/1.1-protocollen zelf missen kritieke kwetsbaarheden die kunnen worden uitgebuit om praktische aanvallen uit te voeren.
Bron: opennet.ru