GitHub parantos mutuskeun pikeun ngeureunkeun dukungan pikeun TLS 1.0 sareng 1.1 dina gudang pakét NPM sareng sadaya situs anu aya hubunganana sareng manajer pakét NPM, kalebet npmjs.com. Dimimitian 4 Oktober, nyambungkeun ka gudang, kaasup masang bungkusan, bakal merlukeun hiji klien nu ngarojong sahenteuna TLS 1.2. Dina GitHub sorangan, dukungan pikeun TLS 1.0/1.1 dihentikan deui dina bulan Pebruari 2018. Motifna nyarioskeun perhatian pikeun kaamanan jasa sareng karusiahan data pangguna. Numutkeun kana GitHub, sakitar 99% pamundut ka Repositori NPM parantos dilakukeun nganggo TLS 1.2 atanapi 1.3, sareng Node.js parantos ngalebetkeun dukungan pikeun TLS 1.2 ti saprak 2013 (saprak dileupaskeun 0.10), ku kituna perobihan éta ngan ukur mangaruhan sabagian leutik. pamaké.
Hayu urang émut yén protokol TLS 1.0 sareng 1.1 parantos resmi digolongkeun salaku téknologi usang ku IETF (Internet Engineering Task Force). Spésifikasi TLS 1.0 diterbitkeun dina Januari 1999. Tujuh taun saatosna, pembaruan TLS 1.1 dileupaskeun kalayan perbaikan kaamanan anu aya hubunganana sareng generasi vektor inisialisasi sareng padding. Diantara masalah utama TLS 1.0/1.1 nyaéta kurangna dukungan pikeun ciphers modern (contona, ECDHE sareng AEAD) sareng ayana spésifikasi sarat pikeun ngadukung ciphers lami, réliabilitas anu ditaroskeun dina tahap ayeuna. ngembangkeun téhnologi komputasi (Contona, rojongan pikeun TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukeun pikeun pariksa integritas jeung auténtikasi migunakeun MD5 jeung SHA-1). Rojongan pikeun algoritma luntur parantos nyababkeun serangan sapertos ROBOT, DROWN, BEAST, Logjam sareng FREAK. Tapi, masalah ieu henteu langsung dianggap kerentanan protokol sareng direngsekeun dina tingkat palaksanaanna. Protokol TLS 1.0/1.1 sorangan kakurangan kerentanan kritis anu tiasa dieksploitasi pikeun ngalaksanakeun serangan praktis.
sumber: opennet.ru