Написать пост

8 февраля GitHub прекратит поддержку устаревших алгоритмов шифрования

Аватар Ирина Рыбак

GitHub отключит алгоритмы в два этапа. Большинство не ощутит изменений, но некоторым релизам Java ранее JDK 8 и Git на Red Hat придется обновится. 22 февраля поддержка прекратиться окончательно.

В прошлом году инженеры по безопасности GitHub заявили об отказе от некоторых слабых криптографических стандартов. Уведомления об изменениях приходили до конца предыдущего года. Это должно было упростить переход для клиентов. Предельный срок был назначен на 1 февраля 2018 года, но был сдвинут на неделю. В результате, 8 февраля 2018 года планируется прекратить поддержку:

  • TLSv1/TLSv1.1 — относится ко всем HTTPS-соединениям, включая веб-интерфейс, API и git-соединения с github.com и api.github.com;
  • diffie-hellman-group1-sha1 — относится ко всем подключениям по SSH к github.com;
  • diffie-hellman-group14-sha1 — относится ко всем подключениям по SSH к github.com.

Алгоритмы собираются отключать в два этапа:

  • 8 февраля в 00:00 МСК — отключить устаревшие алгоритмы на один час;
  • 22 февраля в 00:00 МСК — окончательно отключить устаревшие алгоритмы.

Эти алгоритмы в настоящее время занимают небольшую часть трафика, и многие клиенты автоматически перейдут на новые, не ощутив изменений. В GitHub ожидают, что изменения, по большей части, затронут старые системы. Большинство из них более не поддерживается и обращается к Git / GitHub API с помощью устаревших алгоритмов. Чтобы сделать переход менее болезненным, поддержка будет приостановлена 8 февраля 2018 года на один час. В течение этого времени, системы, использующие старые алгоритмы, не смогут подключиться к GitHub. После восстановления доступа, будет предоставлен срок в две недели для обновления библиотек. Затем, 22 февраля 2018 года, поддержка устаревших алгоритмов будет отключена полностью.

GitHub о некоторых известных несовместимых клиентах

Как отмечено выше, подавляющее большинство трафика воздействию не подвергнется. Тем не менее, оставшиеся клиенты неизбежно будут затронуты изменением. К счастью, большинство из них могут обновиться для работы с TLSv1.2.

Git Credential Manager для Windows версии v1.14.0 и ниже

Старые версии Git Credential Manager for Windows не поддерживают протокол TLSv1.2. Однако это устраняется обновлением до версии 1.14.0.

Git на Red Hat

Red Hat 5, 6 и 7 поставляются с git-клиентами, которые не поддерживают протокол TLSv1.2. Обновление до версий 6.8 и 7.2 (или выше) поможет решить проблему. К сожалению, для Red Hat 5 нет соответствующего релиза, который бы поддерживал TLSv1.2. Поэтому пользователям рекомендуется обновить Red Hat 5 до более новой версии ОС.

 JDK 8 и ниже

В сообщении блога Oracle отмечалось, что первая версия протокола TLS использовалась по умолчанию для JDK вплоть до версии 8. В наборе JDK 8 по умолчанию используется протокол TLSv1.2. Любой клиент (например, JGit), работающий на более старых версиях JDK, оказывается затронут. Это можно устранить с помощью обновления JDK до версии 8 и выше. Также в JDK 7 можно явно выбрать TLSv1.2. К сожалению, версии JDK до 6 включительно не поддерживают TLSv1.2 и пользователям советуют перейти на более новую версию JDK.

При возникновении вопросов и проблем, связанных с прекращением поддержки GitHub устаревших алгоритмов, пользователи могут обратиться за помощью.

Также в январе 2018 года была замечена уязвимость в протоколе TLS-SNI-01, позволяющей обходным путем получить сертификат безопасности от Let’s Encrypt.

Следите за новыми постами
Следите за новыми постами по любимым темам
1К открытий1К показов