GitHub 已决定停止 NPM 包存储库以及与 NPM 包管理器关联的所有站点(包括 npmjs.com)中对 TLS 1.0 和 1.1 的支持。 从 4 月 1.2 日开始,连接到存储库(包括安装软件包)将需要至少支持 TLS 1.0 的客户端。 在 GitHub 上,对 TLS 1.1/2018 的支持早在 99 年 1.2 月就已停止。 据称,此举的动机是担心其服务的安全性和用户数据的机密性。 根据 GitHub 的说法,大约 1.3% 对 NPM 存储库的请求已经使用 TLS 1.2 或 2013 进行,并且 Node.js 自 0.10 年(自版本 XNUMX 起)以来就包含了对 TLS XNUMX 的支持,因此更改只会影响一小部分用户。
让我们回想一下,TLS 1.0 和 1.1 协议已被 IETF(互联网工程任务组)正式列为过时技术。 TLS 1.0 规范于 1999 年 1.1 月发布。 七年后,发布了 TLS 1.0 更新,其中包含与初始化向量和填充生成相关的安全性改进。 TLS 1.1/3 的主要问题之一是缺乏对现代密码(例如 ECDHE 和 AEAD)的支持,并且规范中存在支持旧密码的要求,其可靠性在现阶段受到质疑。计算技术的发展(例如,需要支持 TLS_DHE_DSS_WITH_5DES_EDE_CBC_SHA 来检查完整性,身份验证使用 MD1 和 SHA-1.0)。 对过时算法的支持已经导致了 ROBOT、DROWN、BEAST、Logjam 和 FREAK 等攻击。 然而,这些问题并不直接被视为协议漏洞,而是在其实现层面得到解决。 TLS 1.1/XNUMX 协议本身缺乏可用于实施实际攻击的严重漏洞。
来源: opennet.ru