Fa pocs dies GitHub va anunciar una sèrie de canvis en el servei relacionats amb l'enduriment de el protocol anar, El qual és utilitzat durant les operacions git push i git pull a través d'SSH o l'esquema «git: //».
S'esmenta que les sol·licituds a través d'https: // no es veuran afectades i una vegada que els canvis entrin en vigència, es necessitarà al menys la versió 7.2 d'OpenSSH (Llançada en 2016) o la versió 0.75 de PuTTY (Llançada el maig d'aquest any) per connectar-se a GitHub a través d'SSH.
Per exemple, la compatibilitat amb el client SSH de CentOS 6 i Ubuntu 14.04, que ja han estat abandonats, es trencarà.
Hola de Git Systems, l'equip de GitHub que s'assegura que el seu codi font estigui disponible i sigui segur. Estem realitzant alguns canvis per millorar la seguretat de l'protocol quan ingressa o extreu dades de Git. Esperem que molt poques persones notin aquests canvis, ja que els estem implementant de la manera més fluida possible, però tot i així volem avisar amb molta antelació.
Bàsicament s'esmenta que els canvis es redueixen a deixar d'actualitzar trucades de Git no xifrades a través d ' «git: //» i ajustar els requisits per a les claus SSH que es fan servir a l'accedir a GitHub, això amb la finalitat de millorar la seguretat en les connexions realitzades per part dels usuaris, ja que GitHub esmenta que la manera en la qual s'estava realitzant ja és obsoleta i poc segura.
GitHub deixarà d'admetre totes les claus DSA i els algoritmes SSH heretats, com els xifrats CBC (AES256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. A més, s'introdueixen requisits addicionals per a les noves claus RSA (es prohibirà la signatura amb SHA-1) i s'implementa la compatibilitat amb les claus d'amfitrió ECDSA i Ed25519.
Què està canviant?
Estem canviant quines claus són compatibles amb SSH i eliminant el protocol Git sense xifrar. Concretament som:Eliminant el suport per a totes les claus DSA
Addició de requisits per a claus RSA recentment agregades
Eliminació d'alguns algoritmes SSH heretats (xifrats HMAC-SHA-1 i CBC)
Afegir claus de host ECDSA i Ed25519 per SSH
Desactivar el protocol Git sense xifrar
Només els usuaris que es connecten a través d'SSH o git: // es veuen afectats. Si els seus controls remots de Git comencen amb https: //, res en aquesta publicació el afectarà. Si és un usuari de SSH, seguiu llegint per conèixer els detalls i el cronograma.Ens fa poc deixat d'admetre les contrasenyes a través d'HTTPS. Aquests canvis de SSH, encara que no estan relacionats a nivell tècnic, són part de la mateixa impuls per mantenir les dades dels clients de GitHub el més segurs possible.
Els canvis es faran gradualment i les noves claus d'amfitrió ECDSA i Ed25519 es generaran el 14 de setembre. La compatibilitat amb la signatura de claus RSA mitjançant el hash SHA-1 s'interromprà el 2 de novembre (les claus generades anteriorment seguiran funcionant).
El 16 de novembre, se suspendrà la compatibilitat amb claus de host basades en DSA. L'11 de gener de 2022, com a experiment, s'ha de suspendre temporalment la compatibilitat amb els algoritmes SSH antics i la capacitat d'accedir sense xifrat. El 15 de març, la compatibilitat amb algoritmes antics es desactivarà permanentment.
A més, s'esmenta que es deu tenir en compte que la base de codi OpenSSH s'ha modificat per defecte per desactivar la signatura de claus RSA mitjançant el hash SHA-1 ( «ssh-rsa»).
El suport per a firmes amb hash SHA-256 i SHA-512 (rsa-sha2-256 / 512) roman sense canvis. El cap de l'suport per a les firmes «ssh-rsa» es deu a un augment en l'efectivitat dels atacs de col·lisió amb un prefix donat (el cost d'endevinar la col·lisió s'estima en uns 50 mil dòlars).
Per provar l'ús de ssh-rsa en els seus sistemes, es pot intentar connectant-se a través de ssh amb l'opció «-oHostKeyAlgorithms = -ssh-rsa».
finalment si estàs interessat en poder conèixer més a l'respecte sobre els canvis que està realitzant GitHub, pots consultar els detalls en el següent enllaç.