GitHub ได้ตัดสินใจยุติการสนับสนุน TLS 1.0 และ 1.1 ในพื้นที่เก็บข้อมูลแพ็กเกจ NPM และไซต์ทั้งหมดที่เกี่ยวข้องกับตัวจัดการแพ็คเกจ NPM รวมถึง npmjs.com ตั้งแต่วันที่ 4 ตุลาคมเป็นต้นไป การเชื่อมต่อกับพื้นที่เก็บข้อมูล รวมถึงการติดตั้งแพ็คเกจ จะต้องใช้ไคลเอ็นต์ที่รองรับ TLS 1.2 เป็นอย่างน้อย บน GitHub เอง การสนับสนุน TLS 1.0/1.1 ถูกยกเลิกในเดือนกุมภาพันธ์ 2018 แรงจูงใจดังกล่าวเกี่ยวข้องกับความปลอดภัยของบริการและการรักษาความลับของข้อมูลผู้ใช้ จากข้อมูลของ GitHub ประมาณ 99% ของคำขอไปยังพื้นที่เก็บข้อมูล NPM นั้นได้ดำเนินการไปแล้วโดยใช้ TLS 1.2 หรือ 1.3 และ Node.js ได้รวมการสนับสนุนสำหรับ TLS 1.2 มาตั้งแต่ปี 2013 (ตั้งแต่เปิดตัว 0.10) ดังนั้นการเปลี่ยนแปลงจะส่งผลกระทบต่อส่วนเล็ก ๆ ของ ผู้ใช้
ขอให้เราระลึกว่าโปรโตคอล TLS 1.0 และ 1.1 ได้รับการจำแนกอย่างเป็นทางการว่าเป็นเทคโนโลยีที่ล้าสมัยโดย IETF (Internet Engineering Task Force) ข้อมูลจำเพาะ TLS 1.0 ได้รับการเผยแพร่ในเดือนมกราคม 1999 เจ็ดปีต่อมา การอัปเดต TLS 1.1 ได้รับการเผยแพร่พร้อมกับการปรับปรุงความปลอดภัยที่เกี่ยวข้องกับการสร้างเวกเตอร์การเริ่มต้นและการขยาย ปัญหาหลักของ TLS 1.0/1.1 คือการขาดการสนับสนุนการเข้ารหัสสมัยใหม่ (เช่น ECDHE และ AEAD) และการมีอยู่ของข้อกำหนดเพื่อรองรับการเข้ารหัสแบบเก่า ความน่าเชื่อถือที่ถูกตั้งคำถามในขั้นตอนปัจจุบันของ การพัฒนาเทคโนโลยีคอมพิวเตอร์ (เช่น จำเป็นต้องมีการรองรับ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA เพื่อตรวจสอบความสมบูรณ์และการรับรองความถูกต้องโดยใช้ MD5 และ SHA-1) การสนับสนุนอัลกอริธึมที่ล้าสมัยได้นำไปสู่การโจมตีเช่น ROBOT, DROWN, BEAST, Logjam และ FREAK อย่างไรก็ตาม ปัญหาเหล่านี้ไม่ถือเป็นช่องโหว่ของโปรโตคอลโดยตรง และได้รับการแก้ไขในระดับการใช้งาน โปรโตคอล TLS 1.0/1.1 เองยังขาดช่องโหว่ร้ายแรงที่สามารถนำไปใช้ในการโจมตีเชิงปฏิบัติได้
ที่มา: opennet.ru