GitHub විසින් TLS 1.0 සහ 1.1 සඳහා NPM පැකේජ ගබඩාවේ සහ npmjs.com ඇතුළු NPM පැකේජ කළමණාකරු හා සම්බන්ධ සියලුම වෙබ් අඩවි සඳහා සහය ලබා දීම නතර කිරීමට තීරණය කර ඇත. ඔක්තෝබර් 4 සිට, පැකේජ ස්ථාපනය කිරීම ඇතුළුව ගබඩාවට සම්බන්ධ වීමට, අවම වශයෙන් TLS 1.2 සඳහා සහය දක්වන සේවාලාභියෙකු අවශ්ය වේ. GitHub වලදීම, TLS 1.0/1.1 සඳහා වන සහය 2018 පෙබරවාරි මස නැවත නතර කරන ලදී. මෙම චේතනාව එහි සේවාවන්හි ආරක්ෂාව සහ පරිශීලක දත්තවල රහස්යභාවය පිළිබඳ සැලකිල්ලක් බව පැවසේ. GitHub ට අනුව, NPM ගබඩාවට කෙරෙන ඉල්ලීම්වලින් 99%ක් පමණ දැනටමත් TLS 1.2 හෝ 1.3 භාවිතයෙන් සිදු කර ඇති අතර, Node.js 1.2 සිට TLS 2013 සඳහා සහය ඇතුළත් කර ඇත (0.10 නිකුත් කිරීමේ සිට), එබැවින් වෙනස බලපානු ඇත්තේ කුඩා කොටසකට පමණි. පරිශීලකයන්.
IETF (අන්තර්ජාල ඉංජිනේරු කාර්ය සාධක බලකාය) විසින් TLS 1.0 සහ 1.1 ප්රොටෝකෝල යල් පැන ගිය තාක්ෂණයන් ලෙස නිල වශයෙන් වර්ගීකරණය කර ඇති බව අපි සිහිපත් කරමු. TLS 1.0 පිරිවිතර 1999 ජනවාරි මාසයේදී ප්රකාශයට පත් කරන ලදී. වසර හතකට පසු, TLS 1.1 යාවත්කාලීන කිරීම ආරම්භක දෛශික සහ පිරවුම් උත්පාදනයට අදාළ ආරක්ෂක වැඩිදියුණු කිරීම් සමඟ නිකුත් කරන ලදී. TLS 1.0/1.1 හි ප්රධාන ගැටළු අතර නවීන කේතාංක සඳහා සහය නොමැතිකම (උදාහරණයක් ලෙස, ECDHE සහ AEAD) සහ පැරණි කේතාංක සඳහා සහය දැක්වීමේ අවශ්යතාවයේ පිරිවිතරයේ පැවතීම, වර්තමාන අවධියේදී ප්රශ්න කර ඇති විශ්වසනීයත්වයයි. පරිගණක තාක්ෂණයේ දියුණුව (උදාහරණයක් ලෙස, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA සඳහා සහය අවශ්ය වන්නේ අඛණ්ඩතාව පරීක්ෂා කිරීමට සහ සත්යාපනය සඳහා MD5 සහ SHA-1 භාවිතා කරයි). යල් පැන ගිය ඇල්ගොරිතම සඳහා වන සහාය දැනටමත් ROBOT, DROWN, BEAST, Logjam සහ FREAK වැනි ප්රහාර වලට තුඩු දී ඇත. කෙසේ වෙතත්, මෙම ගැටළු සෘජුවම ප්රොටෝකෝල දුර්වලතා ලෙස නොසලකන ලද අතර එය ක්රියාත්මක කිරීමේ මට්ටමින් විසඳා ඇත. TLS 1.0/1.1 ප්රොටෝකෝලවලම ප්රායෝගික ප්රහාර සිදු කිරීමට යොදා ගත හැකි තීරණාත්මක දුර්වලතා නොමැත.
මූලාශ්රය: opennet.ru