GitHub đã quyết định ngừng hỗ trợ TLS 1.0 và 1.1 trong kho lưu trữ gói NPM và tất cả các trang web được liên kết với trình quản lý gói NPM, bao gồm cả npmjs.com. Bắt đầu từ ngày 4 tháng 1.2, việc kết nối với kho lưu trữ, bao gồm cả các gói cài đặt, sẽ yêu cầu máy khách hỗ trợ ít nhất TLS 1.0. Trên chính GitHub, hỗ trợ cho TLS 1.1/2018 đã ngừng hoạt động vào tháng 99 năm 1.2. Động cơ được cho là lo ngại về tính bảo mật của dịch vụ và tính bảo mật của dữ liệu người dùng. Theo GitHub, khoảng 1.3% yêu cầu tới kho lưu trữ NPM đã được thực hiện bằng TLS 1.2 hoặc 2013 và Node.js đã hỗ trợ TLS 0.10 kể từ năm XNUMX (kể từ bản phát hành XNUMX), do đó, thay đổi này sẽ chỉ ảnh hưởng đến một phần nhỏ người dùng.
Chúng ta hãy nhớ lại rằng các giao thức TLS 1.0 và 1.1 đã được IETF (Lực lượng đặc nhiệm kỹ thuật Internet) chính thức phân loại là công nghệ lỗi thời. Đặc tả TLS 1.0 được xuất bản vào tháng 1999 năm 1.1. Bảy năm sau, bản cập nhật TLS 1.0 được phát hành với những cải tiến về bảo mật liên quan đến việc tạo vectơ khởi tạo và phần đệm. Trong số các vấn đề chính của TLS 1.1/3 là thiếu sự hỗ trợ cho các mật mã hiện đại (ví dụ: ECDHE và AEAD) và sự hiện diện trong đặc tả yêu cầu hỗ trợ các mật mã cũ, độ tin cậy của chúng đang bị nghi ngờ ở giai đoạn hiện tại của phát triển công nghệ điện toán (ví dụ: cần hỗ trợ TLS_DHE_DSS_WITH_5DES_EDE_CBC_SHA để kiểm tra tính toàn vẹn và xác thực sử dụng MD1 và SHA-1.0). Việc hỗ trợ các thuật toán lỗi thời đã dẫn đến các cuộc tấn công như ROBOT, DROWN, BEAST, Logjam và FREAK. Tuy nhiên, những vấn đề này không được coi trực tiếp là các lỗ hổng giao thức và đã được giải quyết ở cấp độ triển khai. Bản thân các giao thức TLS 1.1/XNUMX thiếu các lỗ hổng nghiêm trọng có thể bị khai thác để thực hiện các cuộc tấn công thực tế.
Nguồn: opennet.ru