NPM தொகுப்பு களஞ்சியத்தில் TLS 1.0 மற்றும் 1.1 க்கான ஆதரவை நிறுத்த GitHub முடிவு செய்துள்ளது மற்றும் npmjs.com உட்பட NPM தொகுப்பு மேலாளருடன் தொடர்புடைய அனைத்து தளங்களிலும். அக்டோபர் 4 முதல், தொகுப்புகளை நிறுவுதல் உட்பட களஞ்சியத்துடன் இணைக்க குறைந்தபட்சம் TLS 1.2 ஐ ஆதரிக்கும் கிளையன்ட் தேவைப்படும். GitHub இல், TLS 1.0/1.1 க்கான ஆதரவு பிப்ரவரி 2018 இல் நிறுத்தப்பட்டது. இதன் நோக்கம் அதன் சேவைகளின் பாதுகாப்பு மற்றும் பயனர் தரவின் ரகசியத்தன்மை பற்றிய கவலை என்று கூறப்படுகிறது. GitHub இன் படி, NPM களஞ்சியத்திற்கான சுமார் 99% கோரிக்கைகள் ஏற்கனவே TLS 1.2 அல்லது 1.3 ஐப் பயன்படுத்தி செய்யப்பட்டுள்ளன, மேலும் Node.js ஆனது TLS 1.2 க்கான ஆதரவை 2013 முதல் உள்ளடக்கியுள்ளது (0.10 வெளியானதிலிருந்து), எனவே மாற்றம் ஒரு சிறிய பகுதியை மட்டுமே பாதிக்கும். பயனர்கள்.
TLS 1.0 மற்றும் 1.1 நெறிமுறைகள் IETF (இன்டர்நெட் இன்ஜினியரிங் டாஸ்க் ஃபோர்ஸ்) மூலம் வழக்கற்றுப் போன தொழில்நுட்பங்கள் என அதிகாரப்பூர்வமாக வகைப்படுத்தப்பட்டுள்ளன என்பதை நினைவில் கொள்வோம். TLS 1.0 விவரக்குறிப்பு ஜனவரி 1999 இல் வெளியிடப்பட்டது. ஏழு ஆண்டுகளுக்குப் பிறகு, டிஎல்எஸ் 1.1 புதுப்பிப்பு துவக்க திசையன்கள் மற்றும் திணிப்புகளின் தலைமுறை தொடர்பான பாதுகாப்பு மேம்பாடுகளுடன் வெளியிடப்பட்டது. TLS 1.0/1.1 இன் முக்கிய பிரச்சனைகளில், நவீன சைபர்களுக்கான ஆதரவு இல்லாமை (உதாரணமாக, ECDHE மற்றும் AEAD) மற்றும் பழைய மறைக்குறியீடுகளை ஆதரிக்கும் தேவையின் விவரக்குறிப்பில் இருப்பது, இதன் நம்பகத்தன்மை தற்போதைய நிலையில் கேள்விக்குள்ளாக்கப்படுகிறது. கம்ப்யூட்டிங் தொழில்நுட்பத்தின் மேம்பாடு (உதாரணமாக, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA க்கான ஆதரவு ஒருமைப்பாடு மற்றும் அங்கீகாரம் MD5 மற்றும் SHA-1 ஐப் பயன்படுத்துகிறது). காலாவதியான அல்காரிதம்களுக்கான ஆதரவு ஏற்கனவே ROBOT, DROWN, BEAST, Logjam மற்றும் FREAK போன்ற தாக்குதல்களுக்கு வழிவகுத்தது. இருப்பினும், இந்த சிக்கல்கள் நேரடியாக நெறிமுறை பாதிப்புகளாக கருதப்படவில்லை மற்றும் அதன் செயலாக்கத்தின் மட்டத்தில் தீர்க்கப்பட்டன. TLS 1.0/1.1 நெறிமுறைகளில் முக்கியமான பாதிப்புகள் இல்லை, அவை நடைமுறைத் தாக்குதல்களை மேற்கொள்ள பயன்படுத்தப்படலாம்.
ஆதாரம்: opennet.ru