GitHub NPM ప్యాకేజీ రిపోజిటరీలో TLS 1.0 మరియు 1.1 మరియు npmjs.comతో సహా NPM ప్యాకేజీ మేనేజర్తో అనుబంధించబడిన అన్ని సైట్లకు మద్దతును నిలిపివేయాలని నిర్ణయించింది. అక్టోబర్ 4 నుండి, ప్యాకేజీలను ఇన్స్టాల్ చేయడంతో సహా రిపోజిటరీకి కనెక్ట్ చేయడానికి కనీసం TLS 1.2కి మద్దతిచ్చే క్లయింట్ అవసరం. GitHub లోనే, TLS 1.0/1.1కి మద్దతు ఫిబ్రవరి 2018లో నిలిపివేయబడింది. దాని సేవల భద్రత మరియు వినియోగదారు డేటా గోప్యతకు సంబంధించిన ఉద్దేశ్యంగా చెప్పబడింది. GitHub ప్రకారం, NPM రిపోజిటరీకి దాదాపు 99% అభ్యర్థనలు ఇప్పటికే TLS 1.2 లేదా 1.3ని ఉపయోగించి చేయబడ్డాయి మరియు Node.js 1.2 నుండి TLS 2013కి మద్దతును కలిగి ఉంది (0.10 విడుదల చేసినప్పటి నుండి), కాబట్టి మార్పు కొంత భాగాన్ని మాత్రమే ప్రభావితం చేస్తుంది వినియోగదారులు.
TLS 1.0 మరియు 1.1 ప్రోటోకాల్లు IETF (ఇంటర్నెట్ ఇంజినీరింగ్ టాస్క్ ఫోర్స్) ద్వారా వాడుకలో లేని సాంకేతికతలుగా అధికారికంగా వర్గీకరించబడిందని గుర్తుచేసుకుందాం. TLS 1.0 స్పెసిఫికేషన్ జనవరి 1999లో ప్రచురించబడింది. ఏడు సంవత్సరాల తరువాత, TLS 1.1 నవీకరణ ప్రారంభ వెక్టర్స్ మరియు పాడింగ్ల ఉత్పత్తికి సంబంధించిన భద్రతా మెరుగుదలలతో విడుదల చేయబడింది. TLS 1.0/1.1 యొక్క ప్రధాన సమస్యలలో ఆధునిక సాంకేతికలిపిలకు మద్దతు లేకపోవడం (ఉదాహరణకు, ECDHE మరియు AEAD) మరియు పాత సాంకేతికలిపిలకు మద్దతు ఇవ్వాల్సిన అవసరం యొక్క స్పెసిఫికేషన్లో ఉండటం, దీని విశ్వసనీయత ప్రస్తుత దశలో ప్రశ్నించబడింది. కంప్యూటింగ్ టెక్నాలజీ అభివృద్ధి (ఉదాహరణకు, సమగ్రతను తనిఖీ చేయడానికి TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAకి మద్దతు అవసరం మరియు ప్రమాణీకరణ MD5 మరియు SHA-1ని ఉపయోగిస్తుంది). కాలం చెల్లిన అల్గారిథమ్లకు మద్దతు ఇప్పటికే ROBOT, DROWN, BEAST, Logjam మరియు FREAK వంటి దాడులకు దారితీసింది. అయినప్పటికీ, ఈ సమస్యలు నేరుగా ప్రోటోకాల్ దుర్బలత్వాలుగా పరిగణించబడలేదు మరియు దాని అమలుల స్థాయిలో పరిష్కరించబడ్డాయి. TLS 1.0/1.1 ప్రోటోకాల్లు క్లిష్టమైన హానిని కలిగి ఉండవు, వాటిని ఆచరణాత్మక దాడులను నిర్వహించడానికి ఉపయోగించుకోవచ్చు.
మూలం: opennet.ru