npm 发布公告称,从 2021 年 10 月 4 日开始,所有与 npm 网站和 npm registry 的连接(包括软件包的安装),都必须使用 TLS 1.2 或更高版本。
具体的时间节点
虽然 npm 将从 2021 年 10 月 4 日开始强制执行最低要求的 TLS 1.2,但在弃用之前仍会采取措施提醒受影响的用户注意此更改。
- 从 8 月 24 日开始,未使用 TLS 1.2 的用户在运行 npm 命令时将看到一条通知,其中包含指向此公告的链接
-
9 月 22 日,从 05:00 UTC 开始执行 TLS 1.2 一小时
-
9 月 27 日,从 10:00 UTC 开始执行 TLS 1.2 一小时,并从 18:00 UTC 开始再次执行一小时
-
9 月 29 日,从 13:00 UTC 开始执行 TLS 1.2 六小时
为保证兼容性,开发者要确保所使用的 npm 版本支持 TLS 1.2,可以从已禁用 TLS 1.0 和 TLS 1.1 的 HTTPS 端点安装测试包:
npm install -g https://tls-test.npmjs.com/tls-test-1.0.0.tgz
此时会看到以下提示信息:
Hello! The tls-test package was successfully downloaded and installed.
Congratulations! Your package manager appears to support TLS 1.2.
但如果看到的是 TLS 错误消息,建议开发者升级到当前支持的 Node.js 版本和最新版本的 npm v7。
根据官方的介绍,npm registry 99% 的流量已经在使用 TLS 1.2,因此他们预计大多数用户不会受到此次弃用 TLS 1.0 和 TLS 1.1 的影响。从 v0.10.0 开始的所有 Node.js 二进制版本都包含对 TLS 1.2 的支持,因此大多数使用最新 Node.js 和 npm 版本的用户不需要进行任何更改。但是,部分用户可能仍在使用不受支持的版本,或者可能在不支持的情况下使用自定义编译的 Node.js 二进制文件。
猜你喜欢: