GitHub se je odločil ukiniti podporo za TLS 1.0 in 1.1 v repozitoriju paketov NPM in vseh spletnih mestih, povezanih z upraviteljem paketov NPM, vključno z npmjs.com. Od 4. oktobra bo povezava z repozitorijem, vključno z namestitvijo paketov, zahtevala odjemalca, ki podpira vsaj TLS 1.2. Na samem GitHubu je bila podpora za TLS 1.0/1.1 ukinjena februarja 2018. Motiv naj bi bila skrb za varnost svojih storitev in zaupnost uporabniških podatkov. Glede na GitHub je približno 99 % zahtev za repozitorij NPM že narejenih z uporabo TLS 1.2 ali 1.3, Node.js pa vključuje podporo za TLS 1.2 od leta 2013 (od izdaje 0.10), tako da bo sprememba vplivala le na majhen del uporabniki.
Spomnimo, protokola TLS 1.0 in 1.1 je IETF (Internet Engineering Task Force) uradno uvrstil med zastarele tehnologije. Specifikacija TLS 1.0 je bila objavljena januarja 1999. Sedem let pozneje je bila izdana posodobitev TLS 1.1 z varnostnimi izboljšavami, povezanimi z generiranjem inicializacijskih vektorjev in oblazinjenja. Med glavnimi težavami TLS 1.0/1.1 je pomanjkanje podpore za sodobne šifre (na primer ECDHE in AEAD) in prisotnost v specifikaciji zahteve po podpori starih šifr, katerih zanesljivost je na trenutni stopnji vprašljiva. razvoj računalniške tehnologije (na primer, podpora za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA je potrebna za preverjanje celovitosti in avtentikacijo uporablja MD5 in SHA-1). Podpora za zastarele algoritme je že privedla do napadov, kot so ROBOT, DROWN, BEAST, Logjam in FREAK. Vendar te težave niso neposredno obravnavane kot ranljivosti protokola in so bile rešene na ravni njegovih implementacij. Sami protokoli TLS 1.0/1.1 nimajo kritičnih ranljivosti, ki bi jih lahko izkoristili za izvedbo praktičnih napadov.
Vir: opennet.ru