GitHub a decis să întrerupă suportul pentru TLS 1.0 și 1.1 în depozitul de pachete NPM și toate site-urile asociate cu managerul de pachete NPM, inclusiv npmjs.com. Începând cu 4 octombrie, conectarea la depozit, inclusiv instalarea pachetelor, va necesita un client care acceptă cel puțin TLS 1.2. Pe GitHub însuși, suportul pentru TLS 1.0/1.1 a fost întrerupt în februarie 2018. Se spune că motivul este preocuparea pentru securitatea serviciilor sale și confidențialitatea datelor utilizatorilor. Potrivit GitHub, aproximativ 99% dintre solicitările către depozitul NPM sunt deja făcute folosind TLS 1.2 sau 1.3, iar Node.js a inclus suport pentru TLS 1.2 din 2013 (de la lansarea 0.10), astfel încât modificarea va afecta doar o mică parte din utilizatorii.
Să ne amintim că protocoalele TLS 1.0 și 1.1 au fost clasificate oficial ca tehnologii învechite de către IETF (Internet Engineering Task Force). Specificația TLS 1.0 a fost publicată în ianuarie 1999. Șapte ani mai târziu, actualizarea TLS 1.1 a fost lansată cu îmbunătățiri de securitate legate de generarea de vectori de inițializare și padding. Printre principalele probleme ale TLS 1.0/1.1 se numără lipsa suportului pentru criptele moderne (de exemplu, ECDHE și AEAD) și prezența în specificație a unei cerințe de a suporta criptele vechi, a cărei fiabilitate este pusă sub semnul întrebării în stadiul actual de dezvoltarea tehnologiei de calcul (de exemplu, suportul pentru TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA este necesar pentru a verifica integritatea și utilizarea de autentificare MD5 și SHA-1). Suportul pentru algoritmi învechiți a dus deja la atacuri precum ROBOT, DROWN, BEAST, Logjam și FREAK. Cu toate acestea, aceste probleme nu au fost considerate direct vulnerabilități ale protocolului și au fost rezolvate la nivelul implementărilor acestuia. Protocoalele TLS 1.0/1.1 în sine nu au vulnerabilități critice care pot fi exploatate pentru a efectua atacuri practice.
Sursa: opennet.ru