GitHub тасмим гирифт, ки дастгирии TLS 1.0 ва 1.1-ро дар анбори бастаи NPM ва ҳама сайтҳои марбут ба мудири бастаи NPM, аз ҷумла npmjs.com қатъ кунад. Аз 4 октябр, барои пайвастшавӣ ба анбор, аз ҷумла насб кардани бастаҳо, муштарӣ талаб карда мешавад, ки ҳадди аққал TLS 1.2-ро дастгирӣ кунад. Дар худи GitHub, дастгирии TLS 1.0/1.1 дар моҳи феврали соли 2018 қатъ карда шуд. Гуфта мешавад, ки ангеза нигаронӣ аз амнияти хидматрасониаш ва махфияти маълумоти корбарон будааст. Тибқи маълумоти GitHub, тақрибан 99% дархостҳо ба анбори NPM аллакай бо истифода аз TLS 1.2 ё 1.3 анҷом дода мешаванд ва Node.js дастгирии TLS 1.2-ро аз соли 2013 (аз замони нашри 0.10) дар бар мегирад, бинобар ин тағирот танҳо ба як қисми ками истифодабарандагон.
Ёдовар мешавем, ки протоколҳои TLS 1.0 ва 1.1 аз ҷониби IETF (Internet Engineering Task Force) расман ҳамчун технологияҳои кӯҳна тасниф шудаанд. Мушаххасоти TLS 1.0 моҳи январи соли 1999 нашр шудааст. Пас аз ҳафт сол, навсозии TLS 1.1 бо такмилдиҳии бехатарии марбут ба тавлиди векторҳои оғозёбӣ ва пуркунӣ бароварда шуд. Дар байни мушкилоти асосии TLS 1.0/1.1 набудани дастгирӣ барои рамзҳои муосир (масалан, ECDHE ва AEAD) ва мавҷудияти талабот оид ба дастгирии рамзҳои кӯҳна, ки эътимоднокии онҳо дар марҳилаи кунунӣ зери шубҳа гузошта шудааст. рушди технологияи ҳисоббарорӣ (масалан, дастгирии TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA барои тафтиши якпорчагӣ ва аутентификатсияи MD5 ва SHA-1 истифода мешавад). Дастгирии алгоритмҳои кӯҳна аллакай боиси ҳамлаҳо ба монанди ROBOT, DROWN, BEAST, Logjam ва FREAK шудааст. Аммо, ин мушкилот бевосита осебпазирии протокол ба ҳисоб гирифта нашуданд ва дар сатҳи татбиқи он ҳал карда шуданд. Худи протоколҳои TLS 1.0/1.1 осебпазирии муҳим надоранд, ки метавонанд барои анҷом додани ҳамлаҳои амалӣ истифода шаванд.
Манбаъ: opennet.ru