GitHub 已決定停止 NPM 套件儲存庫以及與 NPM 套件管理器關聯的所有網站(包括 npmjs.com)中對 TLS 1.0 和 1.1 的支援。 從 4 月 1.2 日開始,連接到儲存庫(包括安裝軟體包)將需要至少支援 TLS 1.0 的用戶端。 在 GitHub 上,對 TLS 1.1/2018 的支援早在 99 年 1.2 月就已停止。 據稱,此舉的動機是擔心其服務的安全性和使用者資料的機密性。 根據GitHub 的說法,大約1.3% 對NPM 儲存庫的請求已經使用TLS 1.2 或2013 進行,並且Node.js 自0.10 年(自版本XNUMX 起)以來就包含了對TLS XNUMX 的支持,因此更改只會影響一小部分用戶。
讓我們回想一下,TLS 1.0 和 1.1 協定已被 IETF(網際網路工程任務組)正式列為過時技術。 TLS 1.0 規格於 1999 年 1.1 月發布。 七年後,發布了 TLS 1.0 更新,其中包含與初始化向量和填充生成相關的安全性改進。 TLS 1.1/3 的主要問題之一是缺乏對現代密碼(例如 ECDHE 和 AEAD)的支持,並且規範中存在支持舊密碼的要求,其可靠性在現階段受到質疑。計算技術的發展(例如,需要支援TLS_DHE_DSS_WITH_5DES_EDE_CBC_SHA 來檢查完整性,身份驗證使用MD1 和SHA-1.0)。 對過時演算法的支援已經導致了 ROBOT、DROWN、BEAST、Logjam 和 FREAK 等攻擊。 然而,這些問題並非直接被視為協議漏洞,而是在其實現層面得到解決。 TLS 1.1/XNUMX 協定本身缺乏可用於實施實際攻擊的嚴重漏洞。
來源: opennet.ru