GitHub نے NPM پیکیج ریپوزٹری میں TLS 1.0 اور 1.1 کے لیے سپورٹ بند کرنے کا فیصلہ کیا ہے اور NPM پیکیج مینیجر سے منسلک تمام سائٹس بشمول npmjs.com۔ 4 اکتوبر سے، پیکجز کو انسٹال کرنے سمیت ریپوزٹری سے منسلک ہونے کے لیے ایک ایسے کلائنٹ کی ضرورت ہوگی جو کم از کم TLS 1.2 کو سپورٹ کرتا ہو۔ خود GitHub پر، TLS 1.0/1.1 کی حمایت فروری 2018 میں واپس بند کر دی گئی تھی۔ کہا جاتا ہے کہ اس کا مقصد اس کی خدمات کی حفاظت اور صارف کے ڈیٹا کی رازداری کے لیے تشویش ہے۔ GitHub کے مطابق، NPM ریپوزٹری کو تقریباً 99% درخواستیں پہلے ہی TLS 1.2 یا 1.3 کا استعمال کرتے ہوئے کی گئی ہیں، اور Node.js نے 1.2 سے TLS 2013 کے لیے سپورٹ شامل کر رکھا ہے (ریلیز 0.10 کے بعد سے)، اس لیے تبدیلی صرف ایک چھوٹے سے حصے کو متاثر کرے گی۔ صارفین
آئیے یاد کریں کہ TLS 1.0 اور 1.1 پروٹوکولز کو IETF (انٹرنیٹ انجینئرنگ ٹاسک فورس) نے باضابطہ طور پر فرسودہ ٹیکنالوجیز کے طور پر درجہ بندی کیا ہے۔ TLS 1.0 تفصیلات جنوری 1999 میں شائع ہوئی تھیں۔ سات سال بعد، TLS 1.1 اپ ڈیٹ ابتدائی ویکٹرز اور پیڈنگ کی جنریشن سے متعلق سیکیورٹی میں بہتری کے ساتھ جاری کیا گیا۔ TLS 1.0/1.1 کے اہم مسائل میں جدید سائفرز (مثال کے طور پر ECDHE اور AEAD) کے لیے تعاون کا فقدان اور پرانے سائفرز کو سپورٹ کرنے کے لیے ایک ضرورت کی تصریح میں موجودگی ہے، جس کی وشوسنییتا کے موجودہ مرحلے پر سوالیہ نشان ہے۔ کمپیوٹنگ ٹیکنالوجی کی ترقی (مثال کے طور پر، TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA کی سالمیت کی جانچ کرنے کے لیے سپورٹ درکار ہے اور توثیق MD5 اور SHA-1 کا استعمال کرتی ہے)۔ پرانے الگورتھم کے لیے سپورٹ پہلے ہی ROBOT، DROWN، BEAST، Logjam اور FREAK جیسے حملوں کا باعث بنی ہے۔ تاہم، ان مسائل کو براہ راست پروٹوکول کی کمزوریوں پر غور نہیں کیا گیا اور اس کے نفاذ کی سطح پر حل کیا گیا۔ TLS 1.0/1.1 پروٹوکول میں خود اہم کمزوریوں کا فقدان ہے جن کا فائدہ اٹھا کر عملی حملے کیے جا سکتے ہیں۔
ماخذ: opennet.ru