GitHub ka vendosur të ndërpresë mbështetjen për TLS 1.0 dhe 1.1 në depon e paketave NPM dhe të gjitha faqet e lidhura me menaxherin e paketave NPM, duke përfshirë npmjs.com. Duke filluar nga 4 tetori, lidhja me depo, duke përfshirë instalimin e paketave, do të kërkojë një klient që mbështet të paktën TLS 1.2. Në vetë GitHub, mbështetja për TLS 1.0/1.1 u ndërpre në shkurt 2018. Motivi thuhet të jetë shqetësimi për sigurinë e shërbimeve të saj dhe konfidencialitetin e të dhënave të përdoruesve. Sipas GitHub, rreth 99% e kërkesave në depo NPM janë bërë tashmë duke përdorur TLS 1.2 ose 1.3, dhe Node.js ka përfshirë mbështetjen për TLS 1.2 që nga viti 2013 (që nga publikimi 0.10), kështu që ndryshimi do të prekë vetëm një pjesë të vogël të përdoruesit.
Kujtojmë se protokollet TLS 1.0 dhe 1.1 janë klasifikuar zyrtarisht si teknologji të vjetëruara nga IETF (Internet Engineering Task Force). Specifikimi TLS 1.0 u publikua në janar 1999. Shtatë vjet më vonë, përditësimi TLS 1.1 u lëshua me përmirësime sigurie në lidhje me gjenerimin e vektorëve të inicializimit dhe mbushjes. Ndër problemet kryesore të TLS 1.0/1.1 është mungesa e mbështetjes për shifrat moderne (për shembull, ECDHE dhe AEAD) dhe prania në specifikimin e një kërkese për të mbështetur shifrat e vjetra, besueshmëria e të cilave vihet në dyshim në fazën aktuale të zhvillimi i teknologjisë kompjuterike (për shembull, mbështetja për TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA kërkohet për të kontrolluar integritetin dhe autentifikimin përdor MD5 dhe SHA-1). Mbështetja për algoritme të vjetëruara tashmë ka çuar në sulme të tilla si ROBOT, DROWN, BEAST, Logjam dhe FREAK. Megjithatë, këto probleme nuk u konsideruan drejtpërdrejt si dobësi të protokollit dhe u zgjidhën në nivelin e zbatimit të tij. Vetë protokollet TLS 1.0/1.1 u mungojnë dobësitë kritike që mund të shfrytëzohen për të kryer sulme praktike.
Burimi: opennet.ru