Обхід Paypal Upgrade


16

PayPal робить оновлення сертифікатів SSL на всіх кінцевих точках Інтернету та API. Через занепокоєння щодо безпеки щодо прогресу в обчислювальній потужності, галузь припиняє 1024-бітні сертифікати SSL (G2) на користь 2048-бітних сертифікатів (G5) і рухається до алгоритму шифрування даних більш високої міцності для забезпечення передачі даних, SHA -2 (256) над старішим стандартом алгоритму SHA-1.

Однак ми все ще використовуємо системи, несумісні з оновленнями та оновленнями наших серверів - це не варіант. Отже, що ми думаємо - проксі (nginx) кінцевої точки paypal, щоб paypal думав, що сервер nginx (який підтримує оновлення) вражає цю кінцеву точку замість наших старих серверів. Чи можливо це? якщо ні, то які можливі варіанти обійти це оновлення?

Ось приклад конфігурації проксі-сервера nginx

 сервер {
    слухати 80;
    ім’я сервера api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Хост $ http_host;
    }
} 

62
Ви вже занадто довго відклали ці оновлення. На даний момент оновлення серверів - це єдиний варіант, про який слід розглянути. Просто мати ці речі у виробництві взагалі достатньо для того, щоб провалити належний аудит безпеки.
Майкл Хемптон

34
"та оновлення наших серверів - це не варіант." - Я впевнений, що це може бути важко, але це дійсно має стати варіантом. У життєвому циклі будь-якої системи наступає момент, коли вам потрібно рухати її вперед, і ви вже пройшли повз це.
Роб Моар

19
"оновлення наших серверів не є можливим". Чому оновлення не є варіантом? У вас є застарілий код, який використовує химерність RHEL4? Чи має ваше програмне забезпечення плагін, який більше не підтримується на RHEL 6 або 7?
Nzall

26
Я збираюсь тут лунати хором. З’ясуйте, чому оновлення не є варіантом, виправте це , а потім оновіть. Paypal не робить цього лише тому, що вони відчувають себе як діки.
Шадур

32
Як людина, яка обізнана з безпекою та грамотна з комп'ютером, якби я був вашим клієнтом і дізнався, що ви зробили те, що ви намагаєтесь зробити, я негайно перестав би працювати з вашою компанією і, швидше за все, більше ніколи не купуватиму щось у вашої компанії.
Шааман

Відповіді:


74

Це менше оновлення та більше можливості відновити та рефактор. Скільки часу ці системи RHEL4 були у виробництві? 2006? 2007?

Чи ігнорувала ваша організація графік життєвого циклу Red Hat та попередження про закінчення періодів підтримки? Чи означає це, що всі ці системи працюють незрівнянно з моменту випуску останнього пакета?

Чи можете ви пояснити, чому ви все ще на RHEL4? Це дійсно закінчилося в 2012 році. У той період часу була можливість просто відновити.

У цьому конкретному питанні я думаю, що найкращим підходом є оцінка зусиль для перебудови на більш сучасній ОС. EL6 або EL7 були б хорошими кандидатами і потрапляли б під активну підтримку.


32
Це. Якщо ваші системи настільки старі, що їх неможливо оновити, вони, безумовно, такі старі, що їм більше не можна довіряти безпеку.
Шадур

20

Настільки важко (і в даному випадку марно) ходити проти вітру, то чому б не піти за ним замість цього? Я можу зрозуміти, що модернізація може бути болем в попці, але воно того варте того.

Крім того, ще не в змозі працювати з 2048-bitсертифікатами, це призведе до ще багатьох проблем у найближчі кілька років. Я думаю, що не тільки paypal, але й багато інших служб забудуть 1024-bitі не в змозі слідкувати за оновленнями призведе до того, що ти з глузду змусиш працювати.


13
Windows та iOS, хром, Mozilla, усі не приймають сертифікати SHA1 після 1.01.2017. Таким чином, це буде коротким виправленням лише для PayPal. Єдине, що я можу собі уявити, що дорого замінити - це такі речі, як PIN-термінали для оплати кредитною карткою чи так.
TJJ

5
Це стане ще дорожчим, коли клієнти покинуть вас ...
sysfiend

11

В принципі, я не бачу жодної причини, чому використання проксі не працювало. Я не знаю достатньо про nginx, щоб знати, чи працюватиме конкретна конфігурація.

Ще один варіант, який, можливо, варто розглянути, - оновлення бібліотеки ssl / tls та зберігання кореневих сертифікатів без оновлення ОС в цілому. Очевидно, що це потребує певного рівня тесту на сумісність / регресію та, ймовірно, передбачає побудову відповідної бібліотеки з джерела.

Якщо ви не можете впоратися з сучасними сертифікатами (з біт-кореня> = 2048 та з підписами sha256), у найближчого майбутнього у вас виникнуть проблеми з майже будь-якою службою ssl, а не лише з paypal.


3
Ні RHEL 4, ні RHEL 5 не обробляють сучасні сертифікати SHA-2.
Майкл Хемптон

9

Як вказував ewwhite, RHEL4 був EOL з 2012 року .

Чому ви не можете оновити? Якщо проблема полягає в вартості ліцензування, є CentOS . Якщо проблема - якась залежність від коду, гм. Я не маю відповіді на гліб за це, як я роблю за вартість, але це лише погіршиться з часом.

Я розумію, якщо це була якась спадщина, яку вам потрібно було зберігати з міркувань дотримання законодавства (і тримати далеко, далеко від Інтернету), але це ваша реальна справа. Ви не хочете стати статистикою. Нагадуємо: Home Depot витратив $ 43 000 000 на порушення своїх даних.

Перегляньте позицію "оновлення наших серверів не є варіантом".


5
Ліцензії RHEL не заблоковані версією. Якщо ви платите за RHEL 4, ви можете оновити весь шлях до RHEL 7 (поточний) за однаковими правами.
Майкл Хемптон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.