Ignorar atualização do Paypal

15

O PayPal está fazendo atualizações para os certificados SSL em todos os pontos de extremidade da web e da API. Devido a preocupações de segurança sobre os avanços no poder de computação, a indústria está eliminando certificados SSL de 1024 bits (G2) em favor de certificados de 2048 bits (G5) e está se movendo em direção a um algoritmo de criptografia de dados mais strong para proteger a transmissão de dados, SHA. -2 (256) sobre o padrão mais antigo do algoritmo SHA-1.

No entanto, ainda estamos usando sistemas que não são compatíveis com as atualizações e a atualização dos nossos servidores não é uma opção. Então, o que achamos é fazer proxy (nginx) no endpoint paypal para que o paypal pense que o servidor nginx (que suporta a atualização) está atingindo esse endpoint em vez de nossos servidores antigos. Isso é possível? se não, quais são as opções possíveis para contornar essa atualização?

Aqui está uma configuração de exemplo do proxy nginx

 server {
    listen 80;
    server_name api.sandbox.paypal.com;

    access_log  /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log   /var/log/nginx/api.sandbox.paypal.com.error.log;

    location /nvp {
        proxy_pass  https://api.sandbox.paypal.com/nvp;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        Host $http_host;
    }
} 
    
por melton 28.04.2016 / 08:56

4 respostas

75

Isso é menos uma atualização e mais uma oportunidade de reconstruir e refatorar. Há quanto tempo esses sistemas RHEL4 estão em produção? 2006? 2007?

Sua organização ignorou a programação do ciclo de vida da Red Hat e os avisos sobre os períodos de fim de suporte? Isso significa que todos esses sistemas estão sendo executados inigualáveis desde os últimos lançamentos de pacotes?

Você pode explicar por que ainda está no RHEL4? Isso realmente acabou em 2012. Nesse período, houve uma oportunidade de simplesmente reconstruir.

Para essa questão em particular, acho que a melhor abordagem é avaliar o esforço de recriar em um sistema operacional mais atual. EL6 ou EL7 seriam bons candidatos e cairiam em apoio ativo.

    
por 28.04.2016 / 09:09
20

É tão difícil (e neste caso inútil) andar contra o vento então, por que você não o segue? Eu posso entender que a atualização pode ser uma dor na bunda, às vezes, mas vale a pena.

Além disso, não poder trabalhar com certificados 2048-bit ainda o levará a muitos mais problemas nos próximos anos. Eu acho que não apenas paypal, mas muitos outros serviços vão esquecer 1024-bit e não ser capaz de seguir as atualizações levará você a ficar louco para fazer as coisas funcionarem.

    
por 28.04.2016 / 10:09
11

Em princípio, não vejo razão para usar um proxy que não funcione. Eu não sei o suficiente sobre o nginx para saber se essa configuração específica funcionaria ou não.

Outra opção que pode valer a pena considerar é atualizar a biblioteca ssl / tls e o armazenamento de certificados raiz sem atualizar o sistema operacional como um todo. Obviamente, isso exigiria algum nível de compatibilidade / teste de regressão e provavelmente envolveria a construção da biblioteca em questão a partir da fonte.

Se você não consegue lidar com certificados modernos (de uma raiz > = 2048 bit e com assinaturas sha256), você começará a ter problemas com praticamente qualquer serviço ssl em um futuro próximo, não apenas com paypal.

    
por 28.04.2016 / 18:54
9

Como ewwhite salientou, o RHEL4 tem sido o EOL desde 2012 .

Por que você não pode atualizar? Se o problema for o custo de licenciamento, há CentOS . Se o problema é algum tipo de dependência de código, um. Eu não tenho uma resposta simplista para isso, como eu faço para o custo, mas isso só vai piorar com o tempo.

Eu entenderia se isso fosse algo legado que você deveria manter por motivos de conformidade legal (e mantido longe, longe da internet), mas essa é a sua linha de negócios real da qual você está falando. Você não quer se tornar uma estatística. Apenas um lembrete: a Home Depot gastou US $ 43.000.000 em sua violação de dados.

Por favor, reconsidere a postura de "atualizar nossos servidores não é uma opção".

    
por 29.04.2016 / 20:21

Tags