Nagpasya ang GitHub na ihinto ang suporta para sa TLS 1.0 at 1.1 sa repositoryo ng package ng NPM at lahat ng site na nauugnay sa manager ng package ng NPM, kabilang ang npmjs.com. Simula sa Oktubre 4, ang pagkonekta sa repository, kabilang ang pag-install ng mga package, ay mangangailangan ng isang kliyente na sumusuporta sa hindi bababa sa TLS 1.2. Sa GitHub mismo, ang suporta para sa TLS 1.0/1.1 ay hindi na ipinagpatuloy noong Pebrero 2018. Ang motibo ay sinasabing pag-aalala para sa seguridad ng mga serbisyo nito at ang pagiging kumpidensyal ng data ng gumagamit. Ayon sa GitHub, humigit-kumulang 99% ng mga kahilingan sa repositoryo ng NPM ay ginawa na gamit ang TLS 1.2 o 1.3, at ang Node.js ay may kasamang suporta para sa TLS 1.2 mula noong 2013 (mula noong inilabas ang 0.10), kaya ang pagbabago ay makakaapekto lamang sa isang maliit na bahagi ng mga gumagamit.
Alalahanin natin na ang TLS 1.0 at 1.1 na mga protocol ay opisyal na inuri bilang mga hindi na ginagamit na teknolohiya ng IETF (Internet Engineering Task Force). Ang detalye ng TLS 1.0 ay nai-publish noong Enero 1999. Pagkalipas ng pitong taon, ang pag-update ng TLS 1.1 ay inilabas na may mga pagpapahusay sa seguridad na nauugnay sa pagbuo ng mga vector at padding ng pagsisimula. Kabilang sa mga pangunahing problema ng TLS 1.0/1.1 ay ang kakulangan ng suporta para sa mga modernong cipher (halimbawa, ECDHE at AEAD) at ang pagkakaroon sa pagtutukoy ng isang kinakailangan upang suportahan ang mga lumang cipher, ang pagiging maaasahan nito ay kinukuwestiyon sa kasalukuyang yugto ng pag-unlad ng teknolohiya sa pag-compute (halimbawa, ang suporta para sa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ay kinakailangan upang suriin ang integridad at paggamit ng authentication ng MD5 at SHA-1). Ang suporta para sa mga hindi napapanahong algorithm ay humantong na sa mga pag-atake tulad ng ROBOT, DROWN, BEAST, Logjam at FREAK. Gayunpaman, ang mga problemang ito ay hindi direktang itinuturing na mga kahinaan sa protocol at nalutas sa antas ng mga pagpapatupad nito. Ang mga protocol ng TLS 1.0/1.1 mismo ay kulang sa mga kritikal na kahinaan na maaaring samantalahin upang magsagawa ng mga praktikal na pag-atake.
Pinagmulan: opennet.ru