Vài ngày trước GitHub đã thông báo một số thay đổi đối với dịch vụ liên quan đến việc thắt chặt giao thức đi, được sử dụng trong các hoạt động git push và git pull thông qua SSH hoặc lược đồ "git: //".
Nó được đề cập rằng yêu cầu qua https: // sẽ không bị ảnh hưởng và khi các thay đổi có hiệu lực, ít nhất phiên bản 7.2 của OpenSSH sẽ được yêu cầu (phát hành năm 2016) hoặc phiên bản 0.75 từ PuTTY (phát hành vào tháng XNUMX năm nay) để kết nối với GitHub thông qua SSH.
Ví dụ: hỗ trợ cho máy khách SSH của CentOS 6 và Ubuntu 14.04, đã bị ngừng cung cấp, sẽ bị hỏng.
Xin chào từ Git Systems, nhóm GitHub đảm bảo mã nguồn của bạn luôn có sẵn và an toàn. Chúng tôi đang thực hiện một số thay đổi để cải thiện tính bảo mật của giao thức khi bạn nhập hoặc trích xuất dữ liệu từ Git. Chúng tôi hy vọng rằng rất ít người sẽ nhận thấy những thay đổi này, vì chúng tôi đang triển khai chúng một cách suôn sẻ nhất có thể, nhưng chúng tôi vẫn muốn thông báo trước nhiều.
Về cơ bản nó được đề cập rằng các thay đổi dẫn đến việc ngừng hỗ trợ cho các cuộc gọi Git không được mã hóa thông qua "git: //" và điều chỉnh các yêu cầu đối với khóa SSH được sử dụng khi truy cập GitHub, điều này nhằm cải thiện tính bảo mật của các kết nối do người dùng thực hiện, vì GitHub đề cập rằng cách thức thực hiện đã lỗi thời và không an toàn.
GitHub sẽ không còn hỗ trợ tất cả các khóa DSA và thuật toán SSH cũ, chẳng hạn như mật mã CBC (aes256-cbc, aes192-cbc aes128-cbc) và HMAC-SHA-1. Ngoài ra, các yêu cầu bổ sung được đưa ra cho các khóa RSA mới (việc ký SHA-1 sẽ bị cấm) và hỗ trợ cho các khóa máy chủ ECDSA và Ed25519 được triển khai.
Điều gì đang thay đổi?
Chúng tôi đang thay đổi khóa nào tuân thủ SSH và xóa giao thức Git không được mã hóa. Cụ thể chúng tôi là:Xóa hỗ trợ cho tất cả các khóa DSA
Thêm yêu cầu cho khóa RSA mới được thêm vào
Loại bỏ một số thuật toán SSH cũ (mã HMAC-SHA-1 và CBC)
Thêm khóa máy chủ ECDSA và Ed25519 cho SSH
Tắt giao thức Git không được mã hóa
Chỉ những người dùng kết nối qua SSH hoặc git: // mới bị ảnh hưởng. Nếu điều khiển từ xa trên Git của bạn bắt đầu bằng https: // thì không có gì trong bài đăng này sẽ ảnh hưởng đến điều đó. Nếu bạn là người dùng SSH, hãy đọc để biết chi tiết và lịch trình.Gần đây, chúng tôi đã ngừng hỗ trợ mật khẩu qua HTTPS. Những thay đổi SSH này, mặc dù không liên quan về mặt kỹ thuật, nhưng là một phần của cùng một ổ đĩa để giữ cho dữ liệu khách hàng GitHub an toàn nhất có thể.
Các thay đổi sẽ được thực hiện dần dần và các khóa máy chủ mới ECDSA và Ed25519 sẽ được tạo vào ngày 14 tháng 1. Hỗ trợ ký khóa RSA bằng cách sử dụng hàm băm SHA-2 sẽ ngừng hoạt động vào ngày XNUMX tháng XNUMX (các khóa được tạo trước đó sẽ tiếp tục hoạt động).
Vào ngày 16 tháng XNUMX, hỗ trợ cho các khóa máy chủ dựa trên DSA sẽ bị ngừng. Vào ngày 11 tháng 2022 năm 15, như một thử nghiệm, hỗ trợ cho các thuật toán SSH cũ hơn và khả năng truy cập mà không cần mã hóa sẽ tạm thời bị tạm ngừng. Vào ngày XNUMX tháng XNUMX, hỗ trợ cho các thuật toán cũ sẽ bị vô hiệu hóa vĩnh viễn.
Ngoài ra, cần lưu ý rằng cơ sở mã OpenSSH đã được sửa đổi theo mặc định để tắt tính năng ký khóa RSA bằng cách sử dụng hàm băm SHA-1 ("ssh-rsa").
Hỗ trợ cho chữ ký băm SHA-256 và SHA-512 (rsa-sha2-256 / 512) vẫn không thay đổi. Việc kết thúc hỗ trợ cho chữ ký "ssh-rsa" là do sự gia tăng hiệu quả của các cuộc tấn công va chạm với một tiền tố nhất định (chi phí đoán va chạm ước tính khoảng 50 USD).
Để kiểm tra việc sử dụng ssh-rsa trên hệ thống của mình, bạn có thể thử kết nối qua ssh với tùy chọn "-oHostKeyAlgorithm = -ssh-rsa".
Cuối cùng sNếu bạn muốn biết thêm về nó về những thay đổi mà GitHub đang thực hiện, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.