O GitHub decidiu descontinuar o suporte para TLS 1.0 e 1.1 no repositório de pacotes NPM e em todos os sites associados ao gerenciador de pacotes NPM, incluindo npmjs.com. A partir de 4 de outubro, a conexão ao repositório, incluindo a instalação de pacotes, exigirá um cliente que suporte pelo menos TLS 1.2. No próprio GitHub, o suporte para TLS 1.0/1.1 foi descontinuado em fevereiro de 2018. O motivo seria a preocupação com a segurança de seus serviços e a confidencialidade dos dados dos usuários. De acordo com o GitHub, cerca de 99% das solicitações ao repositório NPM já são feitas usando TLS 1.2 ou 1.3, e o Node.js inclui suporte para TLS 1.2 desde 2013 (desde a versão 0.10), portanto a mudança afetará apenas uma pequena parte do Usuários.
Lembremos que os protocolos TLS 1.0 e 1.1 foram oficialmente classificados como tecnologias obsoletas pela IETF (Internet Engineering Task Force). A especificação TLS 1.0 foi publicada em janeiro de 1999. Sete anos depois, a atualização TLS 1.1 foi lançada com melhorias de segurança relacionadas à geração de vetores de inicialização e preenchimento. Entre os principais problemas do TLS 1.0/1.1 está a falta de suporte para cifras modernas (por exemplo, ECDHE e AEAD) e a presença na especificação de um requisito de suporte a cifras antigas, cuja confiabilidade é questionada no atual estágio de desenvolvimento de tecnologia de computação (por exemplo, é necessário suporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA para verificar a integridade e autenticação usa MD5 e SHA-1). O suporte a algoritmos desatualizados já levou a ataques como ROBOT, DROWN, BEAST, Logjam e FREAK. No entanto, estes problemas não foram considerados diretamente vulnerabilidades do protocolo e foram resolvidos ao nível das suas implementações. Os próprios protocolos TLS 1.0/1.1 carecem de vulnerabilidades críticas que possam ser exploradas para realizar ataques práticos.
Fonte: opennet.ru