GitHub imeamua kuacha kutumia TLS 1.0 na 1.1 katika hazina ya kifurushi cha NPM na tovuti zote zinazohusiana na kidhibiti kifurushi cha NPM, ikijumuisha npmjs.com. Kuanzia Oktoba 4, kuunganisha kwenye hazina, ikiwa ni pamoja na kusakinisha vifurushi, kutahitaji mteja anayetumia angalau TLS 1.2. Kwenye GitHub yenyewe, uwezo wa kutumia TLS 1.0/1.1 ulikataliwa mnamo Februari 2018. Nia inasemekana kuwa ni wasiwasi kwa usalama wa huduma zake na usiri wa data ya mtumiaji. Kulingana na GitHub, takriban 99% ya maombi kwa hazina ya NPM tayari yanatumwa kwa kutumia TLS 1.2 au 1.3, na Node.js imejumuisha usaidizi kwa TLS 1.2 tangu 2013 (tangu kutolewa 0.10), kwa hivyo mabadiliko yataathiri tu sehemu ndogo ya watumiaji.
Tukumbuke kwamba itifaki za TLS 1.0 na 1.1 zimeainishwa rasmi kuwa teknolojia za kizamani na IETF (Internet Engineering Task Force). Vipimo vya TLS 1.0 vilichapishwa mnamo Januari 1999. Miaka saba baadaye, sasisho la TLS 1.1 lilitolewa na uboreshaji wa usalama unaohusiana na utengenezaji wa vekta za uanzishaji na pedi. Miongoni mwa matatizo makuu ya TLS 1.0/1.1 ni ukosefu wa usaidizi wa misimbo ya kisasa (kwa mfano, ECDHE na AEAD) na uwepo katika uainishaji wa hitaji la kuunga mkono misimbo ya zamani, kuegemea ambayo inatiliwa shaka katika hatua ya sasa ya. uundaji wa teknolojia ya kompyuta (kwa mfano, usaidizi wa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA unahitajika ili kuangalia uadilifu na uthibitishaji wa matumizi ya MD5 na SHA-1). Usaidizi wa algoriti zilizopitwa na wakati tayari umesababisha mashambulizi kama vile ROBOT, DROWN, BEAST, Logjam na FREAK. Hata hivyo, matatizo haya hayakuzingatiwa moja kwa moja udhaifu wa itifaki na yalitatuliwa katika kiwango cha utekelezaji wake. Itifaki za TLS 1.0/1.1 zenyewe hazina udhaifu mkubwa unaoweza kutumiwa kutekeleza mashambulizi ya vitendo.
Chanzo: opennet.ru