Sua consulta Precisamos fazer upgrade mesmo que o site não seja executado no modo SSL? sugere que você não está usando SSL / TLS para suas conexões de cliente, mas está se conectando a servidores do PayPal você precisa iniciar conexões TLS nesse ponto.
O PayPal declarou que, como de junho de 2017, eles não aceitarão conexões de API usando nada além do TLS 1.2. Isso significa que você precisa atualizar de alguma forma, já que o suporte a TLS 1.2 não foi adicionado ao OpenSSL até a v1.0.1 e esta versão não foi empacotada para sua versão do Ubuntu.
Você tem duas opções - atualizar o servidor inteiro ou compilar seu próprio OpenSSL. Eu recomendo ir para a primeira opção, pois deixa a tarefa complexa e repetitiva de aplicar patches e testar o OpenSSL para os empacotadores do Ubuntu; algo que tenho certeza que você não tem tempo ou disposição para fazer em um servidor de produção.