GitHub har bestemt seg for å avbryte støtten for TLS 1.0 og 1.1 i NPM-pakkelageret og alle nettsteder knyttet til NPM-pakkebehandlingen, inkludert npmjs.com. Fra og med 4. oktober vil tilkobling til depotet, inkludert installasjon av pakker, kreve en klient som støtter minst TLS 1.2. På selve GitHub ble støtte for TLS 1.0/1.1 avviklet tilbake i februar 2018. Motivet sies å være bekymring for sikkerheten til tjenestene deres og konfidensialiteten til brukerdata. I følge GitHub er omtrent 99 % av forespørslene til NPM-depotet allerede gjort ved å bruke TLS 1.2 eller 1.3, og Node.js har inkludert støtte for TLS 1.2 siden 2013 (siden utgivelse 0.10), så endringen vil bare påvirke en liten del av brukere.
La oss huske at TLS 1.0- og 1.1-protokollene offisielt har blitt klassifisert som foreldede teknologier av IETF (Internet Engineering Task Force). TLS 1.0-spesifikasjonen ble publisert i januar 1999. Syv år senere ble TLS 1.1-oppdateringen utgitt med sikkerhetsforbedringer knyttet til generering av initialiseringsvektorer og polstring. Blant hovedproblemene til TLS 1.0/1.1 er mangelen på støtte for moderne chiffer (for eksempel ECDHE og AEAD) og tilstedeværelsen i spesifikasjonen av et krav om å støtte gamle chiffer, hvis pålitelighet stilles spørsmål ved det nåværende stadiet av utvikling av datateknologi (for eksempel er støtte for TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA nødvendig for å kontrollere integriteten og autentiseringen bruker MD5 og SHA-1). Støtte for utdaterte algoritmer har allerede ført til angrep som ROBOT, DROWN, BEAST, Logjam og FREAK. Disse problemene ble imidlertid ikke direkte ansett som protokollsårbarheter og ble løst på implementeringsnivået. Selve TLS 1.0/1.1-protokollene mangler kritiske sårbarheter som kan utnyttes til å utføre praktiske angrep.
Kilde: opennet.ru