GitHub sa rozhodol ukončiť podporu pre TLS 1.0 a 1.1 v úložisku balíkov NPM a na všetkých stránkach spojených so správcom balíkov NPM vrátane npmjs.com. Od 4. októbra bude pripojenie k úložisku vrátane inštalácie balíkov vyžadovať klienta, ktorý podporuje aspoň TLS 1.2. Na samotnom GitHub bola podpora pre TLS 1.0/1.1 ukončená vo februári 2018. Motívom má byť obava o bezpečnosť jej služieb a dôvernosť používateľských dát. Podľa GitHubu sa približne 99 % žiadostí do úložiska NPM už uskutočňuje pomocou TLS 1.2 alebo 1.3 a Node.js obsahuje podporu pre TLS 1.2 od roku 2013 (od vydania 0.10), takže zmena ovplyvní iba malú časť používateľov.
Pripomeňme, že protokoly TLS 1.0 a 1.1 boli IETF (Internet Engineering Task Force) oficiálne klasifikované ako zastarané technológie. Špecifikácia TLS 1.0 bola zverejnená v januári 1999. O sedem rokov neskôr bola vydaná aktualizácia TLS 1.1 s vylepšeniami zabezpečenia súvisiacimi s generovaním inicializačných vektorov a výplní. Medzi hlavné problémy TLS 1.0/1.1 patrí nedostatočná podpora moderných šifier (napríklad ECDHE a AEAD) a prítomnosť v špecifikácii požiadavky na podporu starých šifier, ktorých spoľahlivosť je v súčasnej fáze spochybňovaná. vývoj výpočtovej technológie (napríklad podpora pre TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA je potrebná na kontrolu integrity a autentifikácie používa MD5 a SHA-1). Podpora zastaraných algoritmov už viedla k útokom ako ROBOT, DROWN, BEAST, Logjam a FREAK. Tieto problémy však neboli priamo považované za zraniteľnosti protokolu a riešili sa na úrovni jeho implementácií. Samotné protokoly TLS 1.0/1.1 nemajú kritické zraniteľnosti, ktoré by sa dali zneužiť na praktické útoky.
Zdroj: opennet.ru