Компанія GitHub прийняла рішення припинити підтримку протоколів TLS 1.0 та 1.1 у репозиторії пакетів NPM та на всіх сайтах, пов'язаних із пакетним менеджером NPM, включаючи npmjs.com. Починаючи з 4 жовтня для підключення до репозиторію, у тому числі для встановлення пакетів, буде потрібно клієнт з підтримкою щонайменше TLS 1.2. Насправді GitHub підтримка TLS 1.0/1.1 була припинена ще в лютому 2018 року. Як мотив називається турбота про безпеку своїх сервісів і конфіденційності даних користувачів. За даними GitHub, близько 99% запитів до репозиторію NPM вже здійснюється з використанням TLS 1.2 або 1.3, а Node.js включає підтримку TLS 1.2 c 2013 року (починаючи з випуску 0.10), тому зміна торкнеться лише незначної частини користувачів.
Нагадаємо, що протоколи TLS 1.0 та 1.1 офіційно переведені комітетом IETF (Internet Engineering Task Force) до розряду застарілих технологій. Специфікацію TLS 1.0 було опубліковано у січні 1999 року. Через сім років було випущено оновлення TLS 1.1 з покращеннями безпеки, пов'язаними з генерацією векторів ініціалізації та додаткового заповнення. Серед головних проблем TLS 1.0/1.1 згадується відсутність підтримки сучасних шифрів (наприклад ECDHE і AEAD) та наявність у специфікації вимоги щодо підтримки старих шифрів, надійність яких на сучасному етапі розвитку обчислювальної техніки поставлена під сумнів (наприклад, потрібна підтримка TLS_DHE_DSS_WI аутентифікації використовується MD3 та SHA-5). Підтримка застарілих алгоритмів вже призводила до таких атак, як ROBOT, DROWN, BEAST, Logjam і FREAK. Проте ці проблеми безпосередньо не були вразливими протоколом і закривалися на рівні його реалізацій. У протоколах TLS 1/1.0 відсутні критичні вразливості, які можна використовуватиме здійснення практичних атак.
Джерело: opennet.ru