GitHub podjął decyzję o zaprzestaniu obsługi protokołu TLS 1.0 i 1.1 w repozytorium pakietów NPM i wszystkich witrynach powiązanych z menedżerem pakietów NPM, w tym npmjs.com. Od 4 października łączenie się z repozytorium, w tym instalowanie pakietów, będzie wymagało klienta obsługującego co najmniej TLS 1.2. W samym GitHubie obsługa protokołu TLS 1.0/1.1 została przerwana w lutym 2018 r. Motywem ma być troska o bezpieczeństwo swoich usług i poufność danych użytkowników. Według GitHuba około 99% żądań do repozytorium NPM jest już wysyłanych przy użyciu TLS 1.2 lub 1.3, a Node.js obsługuje TLS 1.2 od 2013 roku (od wersji 0.10), więc zmiana będzie dotyczyć tylko niewielkiej części użytkownicy.
Przypomnijmy, że protokoły TLS 1.0 i 1.1 zostały oficjalnie uznane przez IETF (Internet Engineering Task Force) za technologie przestarzałe. Specyfikacja TLS 1.0 została opublikowana w styczniu 1999 r. Siedem lat później wydano aktualizację TLS 1.1 zawierającą ulepszenia bezpieczeństwa związane z generowaniem wektorów inicjujących i dopełnieniem. Do głównych problemów TLS 1.0/1.1 należy brak obsługi nowoczesnych szyfrów (np. ECDHE i AEAD) oraz obecność w specyfikacji wymogu obsługi starych szyfrów, którego niezawodność jest kwestionowana na obecnym etapie rozwój technologii obliczeniowej (np. obsługa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA jest wymagana do sprawdzania integralności i uwierzytelniania wykorzystuje MD5 i SHA-1). Obsługa przestarzałych algorytmów doprowadziła już do ataków takich jak ROBOT, DROWN, BEAST, Logjam i FREAK. Jednak problemów tych nie uznano bezpośrednio za luki w protokole i rozwiązano je na poziomie jego implementacji. Same protokoły TLS 1.0/1.1 nie mają krytycznych luk, które można wykorzystać do przeprowadzenia praktycznych ataków.
Źródło: opennet.ru