GitHub NPM paketlar omborida va NPM paket menejeri bilan bog‘liq barcha saytlarda, jumladan npmjs.com da TLS 1.0 va 1.1 qo‘llab-quvvatlashni to‘xtatishga qaror qildi. 4 oktyabrdan boshlab omborga ulanish, jumladan paketlarni oʻrnatish uchun kamida TLS 1.2.ni qoʻllab-quvvatlaydigan mijoz kerak boʻladi. GitHub-ning o'zida TLS 1.0/1.1-ni qo'llab-quvvatlash 2018 yil fevral oyida to'xtatilgan. Buning sababi uning xizmatlari xavfsizligi va foydalanuvchi ma’lumotlarining maxfiyligidan xavotirda ekani aytilmoqda. GitHub ma'lumotlariga ko'ra, NPM omboriga so'rovlarning taxminan 99% allaqachon TLS 1.2 yoki 1.3 yordamida amalga oshirilgan va Node.js 1.2 yildan beri (2013 versiyasidan beri) TLS 0.10-ni qo'llab-quvvatlashni o'z ichiga oladi, shuning uchun o'zgarish faqat kichik bir qismga ta'sir qiladi. foydalanuvchilar.
Eslatib o'tamiz, TLS 1.0 va 1.1 protokollari IETF (Internet Engineering Task Force) tomonidan rasman eskirgan texnologiyalar sifatida tasniflangan. TLS 1.0 spetsifikatsiyasi 1999 yil yanvar oyida nashr etilgan. Etti yil o'tgach, TLS 1.1 yangilanishi ishga tushirish vektorlari va to'ldirishni yaratish bilan bog'liq xavfsizlikni yaxshilash bilan chiqdi. TLS 1.0/1.1 ning asosiy muammolari orasida zamonaviy shifrlarni qo'llab-quvvatlamaslik (masalan, ECDHE va AEAD) va spetsifikatsiyada eski shifrlarni qo'llab-quvvatlash talabining mavjudligi, ularning ishonchliligi hozirgi bosqichda shubha ostiga olinadi. hisoblash texnologiyasini rivojlantirish (masalan, yaxlitlikni tekshirish uchun TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA qo'llab-quvvatlashi talab qilinadi va autentifikatsiya MD5 va SHA-1 dan foydalanadi). Eskirgan algoritmlarni qo'llab-quvvatlash allaqachon ROBOT, DROWN, BEAST, Logjam va FREAK kabi hujumlarga olib keldi. Biroq, bu muammolar to'g'ridan-to'g'ri protokol zaifligi hisoblanmadi va uni amalga oshirish darajasida hal qilindi. TLS 1.0/1.1 protokollarining o'zida amaliy hujumlarni amalga oshirish uchun foydalanish mumkin bo'lgan muhim zaifliklar mavjud emas.
Manba: opennet.ru