Npm注册表将弃用TLS 1.0和TLS 1.1

GitHub宣布从2021年10月4日开始,所有和Npm网站和注册表的连接,包括软件组件安装,都必需要使用TLS 1.2以上的版本。GitHub考量服务安全性和隐私性,已经在去年的时候,取消GitHub服务对TLS 1.0和TLS 1.1的支持,而现在轮到Npm,弃用公共Npm注册表npmjs.com的非HTTPS访问,以及TLS 1.0和TLS 1.1。

官方提到,目前Npm注册表99%的流量都已经使用TLS 1.2,因此他们预计大多数用户不会受到弃用影响。在0.10版本之后发布的Node.js二元文件,都支持TLS 1.2,所以使用最近Node.js和Npm版本的用户,都不需要进行任何的修改。

Npm会从2021年10月4日开始,强制执行最低TLS 1.2限制,在之前官方会采取措施提醒可能受影响的用户,从8月24日开始,未使用TLS 1.2的用户,在执行Npm命令的时候,会接受到通知,并且提供弃用公告连接。9月22日便会强制限用TLS 1.2一个小时,到了9月27日便会在当天执行两次的限用,在9月29日的第三次限用,时间将会长达6小时。

用户可以试着停用TLS 1.0和TLS 1.1,并且从HTTPS端点测试安装组件,当用户看到TLS错误消息,便可以升级到当前支持的Node.js版本和使用最新的Npm v7,避免受到弃用影响。

发表评论