GitHub har beslutat att avbryta stödet för TLS 1.0 och 1.1 i NPM-paketförrådet och alla webbplatser som är associerade med NPM-pakethanteraren, inklusive npmjs.com. Från och med den 4 oktober kommer anslutning till förvaret, inklusive installation av paket, att kräva en klient som stöder minst TLS 1.2. På själva GitHub avbröts stödet för TLS 1.0/1.1 redan i februari 2018. Motivet sägs vara oro för säkerheten för dess tjänster och sekretessen för användardata. Enligt GitHub görs redan cirka 99 % av förfrågningarna till NPM-förvaret med TLS 1.2 eller 1.3, och Node.js har inkluderat stöd för TLS 1.2 sedan 2013 (sedan release 0.10), så ändringen kommer bara att påverka en liten del av användare.
Låt oss komma ihåg att TLS 1.0- och 1.1-protokollen officiellt har klassificerats som föråldrade teknologier av IETF (Internet Engineering Task Force). TLS 1.0-specifikationen publicerades i januari 1999. Sju år senare släpptes TLS 1.1-uppdateringen med säkerhetsförbättringar relaterade till generering av initialiseringsvektorer och utfyllnad. Bland huvudproblemen med TLS 1.0/1.1 är bristen på stöd för moderna chiffer (till exempel ECDHE och AEAD) och närvaron i specifikationen av ett krav på att stödja gamla chiffer, vars tillförlitlighet ifrågasätts i det nuvarande skedet av utveckling av datorteknik (till exempel krävs stöd för TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA för att kontrollera integriteten och autentiseringen använder MD5 och SHA-1). Stöd för föråldrade algoritmer har redan lett till attacker som ROBOT, DROWN, BEAST, Logjam och FREAK. Dessa problem betraktades dock inte direkt som protokollsårbarheter och löstes på nivån för dess implementeringar. TLS 1.0/1.1-protokollen saknar själva kritiska sårbarheter som kan utnyttjas för att utföra praktiska attacker.
Källa: opennet.ru