GitHub, NPM paket deposunda ve npmjs.com dahil NPM paket yöneticisiyle ilişkili tüm sitelerde TLS 1.0 ve 1.1 desteğini durdurmaya karar verdi. 4 Ekim'den itibaren, paketlerin kurulumu da dahil olmak üzere depoya bağlanmak için en az TLS 1.2'yi destekleyen bir istemci gerekecek. GitHub'ta TLS 1.0/1.1 desteği Şubat 2018'de durduruldu. Sebebin, hizmetlerinin güvenliği ve kullanıcı verilerinin gizliliği konusundaki endişe olduğu söyleniyor. GitHub'a göre, NPM deposuna yapılan isteklerin yaklaşık %99'u zaten TLS 1.2 veya 1.3 kullanılarak yapılıyor ve Node.js, 1.2'ten bu yana (2013 sürümünden bu yana) TLS 0.10 desteğini içeriyor; dolayısıyla değişiklik, kullanıcıların yalnızca küçük bir bölümünü etkileyecek. kullanıcılar.
TLS 1.0 ve 1.1 protokollerinin IETF (Internet Engineering Task Force) tarafından resmi olarak eski teknolojiler olarak sınıflandırıldığını hatırlayalım. TLS 1.0 spesifikasyonu Ocak 1999'da yayınlandı. Yedi yıl sonra, başlatma vektörlerinin ve dolguların oluşturulmasıyla ilgili güvenlik iyileştirmelerini içeren TLS 1.1 güncellemesi yayımlandı. TLS 1.0/1.1'in ana sorunları arasında, modern şifreler (örneğin, ECDHE ve AEAD) için destek eksikliği ve spesifikasyonda, güvenilirliği şu an için sorgulanan eski şifreleri destekleme zorunluluğunun varlığı yer almaktadır. bilgi işlem teknolojisinin geliştirilmesi (örneğin, MD3 ve SHA-5 kullanımlarının bütünlüğünü ve kimlik doğrulamasını kontrol etmek için TLS_DHE_DSS_WITH_1DES_EDE_CBC_SHA desteği gereklidir). Güncelliğini yitirmiş algoritmaların desteklenmesi halihazırda ROBOT, DROWN, BEAST, Logjam ve FREAK gibi saldırılara yol açmıştır. Ancak bu sorunlar doğrudan protokol güvenlik açıkları olarak değerlendirilmedi ve uygulama düzeyinde çözüldü. TLS 1.0/1.1 protokolleri, pratik saldırılar gerçekleştirmek için kullanılabilecek kritik güvenlik açıklarından yoksundur.
Kaynak: opennet.ru