Обхід Paypal Upgrade

PayPal робить оновлення сертифікатів SSL на всіх кінцевих точках Інтернету та API. Через занепокоєння щодо безпеки щодо прогресу в обчислювальній потужності, галузь припиняє 1024-бітні сертифікати SSL (G2) на користь 2048-бітних сертифікатів (G5) і рухається до алгоритму шифрування даних більш високої міцності для забезпечення передачі даних, SHA -2 (256) над старішим стандартом алгоритму SHA-1.

Однак ми все ще використовуємо системи, несумісні з оновленнями та оновленнями наших серверів - це не варіант. Отже, що ми думаємо - проксі (nginx) кінцевої точки paypal, щоб paypal думав, що сервер nginx (який підтримує оновлення) вражає цю кінцеву точку замість наших старих серверів. Чи можливо це? якщо ні, то які можливі варіанти обійти це оновлення?

Ось приклад конфігурації проксі-сервера nginx

 сервер {
    слухати 80;
    ім’я сервера api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Хост $ http_host;
    }
} 

Це менше оновлення та більше можливості відновити та рефактор. Скільки часу ці системи RHEL4 були у виробництві? 2006? 2007?

Чи ігнорувала ваша організація графік життєвого циклу Red Hat та попередження про закінчення періодів підтримки? Чи означає це, що всі ці системи працюють незрівнянно з моменту випуску останнього пакета?

Чи можете ви пояснити, чому ви все ще на RHEL4? Це дійсно закінчилося в 2012 році. У той період часу була можливість просто відновити.

У цьому конкретному питанні я думаю, що найкращим підходом є оцінка зусиль для перебудови на більш сучасній ОС. EL6 або EL7 були б хорошими кандидатами і потрапляли б під активну підтримку.

Настільки важко (і в даному випадку марно) ходити проти вітру, то чому б не піти за ним замість цього? Я можу зрозуміти, що модернізація може бути болем в попці, але воно того варте того.

Крім того, ще не в змозі працювати з 2048-bitсертифікатами, це призведе до ще багатьох проблем у найближчі кілька років. Я думаю, що не тільки paypal, але й багато інших служб забудуть 1024-bitі не в змозі слідкувати за оновленнями призведе до того, що ти з глузду змусиш працювати.

В принципі, я не бачу жодної причини, чому використання проксі не працювало. Я не знаю достатньо про nginx, щоб знати, чи працюватиме конкретна конфігурація.

Ще один варіант, який, можливо, варто розглянути, - оновлення бібліотеки ssl / tls та зберігання кореневих сертифікатів без оновлення ОС в цілому. Очевидно, що це потребує певного рівня тесту на сумісність / регресію та, ймовірно, передбачає побудову відповідної бібліотеки з джерела.

Якщо ви не можете впоратися з сучасними сертифікатами (з біт-кореня> = 2048 та з підписами sha256), у найближчого майбутнього у вас виникнуть проблеми з майже будь-якою службою ssl, а не лише з paypal.

Як вказував ewwhite, RHEL4 був EOL з 2012 року .

Чому ви не можете оновити? Якщо проблема полягає в вартості ліцензування, є CentOS . Якщо проблема - якась залежність від коду, гм. Я не маю відповіді на гліб за це, як я роблю за вартість, але це лише погіршиться з часом.

Я розумію, якщо це була якась спадщина, яку вам потрібно було зберігати з міркувань дотримання законодавства (і тримати далеко, далеко від Інтернету), але це ваша реальна справа. Ви не хочете стати статистикою. Нагадуємо: Home Depot витратив $ 43 000 000 на порушення своїх даних.

Перегляньте позицію "оновлення наших серверів не є варіантом".