Ignorar atualização do Paypal

Question

Ignorar atualização do Paypal

#1 resposta do (75 votos)
#2 resposta do (20 votos)
#3 resposta do (11 votos)
#4 resposta do (9 votos)

15

O PayPal está fazendo atualizações para os certificados SSL em todos os pontos de extremidade da web e da API. Devido a preocupações de segurança sobre os avanços no poder de computação, a indústria está eliminando certificados SSL de 1024 bits (G2) em favor de certificados de 2048 bits (G5) e está se movendo em direção a um algoritmo de criptografia de dados mais strong para proteger a transmissão de dados, SHA. -2 (256) sobre o padrão mais antigo do algoritmo SHA-1.

No entanto, ainda estamos usando sistemas que não são compatíveis com as atualizações e a atualização dos nossos servidores não é uma opção. Então, o que achamos é fazer proxy (nginx) no endpoint paypal para que o paypal pense que o servidor nginx (que suporta a atualização) está atingindo esse endpoint em vez de nossos servidores antigos. Isso é possível? se não, quais são as opções possíveis para contornar essa atualização?

Aqui está uma configuração de exemplo do proxy nginx

 server {
    listen 80;
    server_name api.sandbox.paypal.com;

    access_log  /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log   /var/log/nginx/api.sandbox.paypal.com.error.log;

    location /nvp {
        proxy_pass  https://api.sandbox.paypal.com/nvp;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        Host $http_host;
    }
}

upgrade rhel4

por melton 28.04.2016 / 08:56

4 respostas

Tags upgrade rhel4

Alternativa de código aberto para paisagem canônica? [fechadas] A transferência de arquivos de rede VHD falha consistentemente em 4 GB

score 75 · Answer 1

Isso é menos uma atualização e mais uma oportunidade de reconstruir e refatorar. Há quanto tempo esses sistemas RHEL4 estão em produção? 2006? 2007?

Sua organização ignorou a programação do ciclo de vida da Red Hat e os avisos sobre os períodos de fim de suporte? Isso significa que todos esses sistemas estão sendo executados inigualáveis desde os últimos lançamentos de pacotes?

Você pode explicar por que ainda está no RHEL4? Isso realmente acabou em 2012. Nesse período, houve uma oportunidade de simplesmente reconstruir.

Para essa questão em particular, acho que a melhor abordagem é avaliar o esforço de recriar em um sistema operacional mais atual. EL6 ou EL7 seriam bons candidatos e cairiam em apoio ativo.

score 20 · Answer 2

É tão difícil (e neste caso inútil) andar contra o vento então, por que você não o segue? Eu posso entender que a atualização pode ser uma dor na bunda, às vezes, mas vale a pena.

Além disso, não poder trabalhar com certificados 2048-bit ainda o levará a muitos mais problemas nos próximos anos. Eu acho que não apenas paypal, mas muitos outros serviços vão esquecer 1024-bit e não ser capaz de seguir as atualizações levará você a ficar louco para fazer as coisas funcionarem.

score 11 · Answer 3

Em princípio, não vejo razão para usar um proxy que não funcione. Eu não sei o suficiente sobre o nginx para saber se essa configuração específica funcionaria ou não.

Outra opção que pode valer a pena considerar é atualizar a biblioteca ssl / tls e o armazenamento de certificados raiz sem atualizar o sistema operacional como um todo. Obviamente, isso exigiria algum nível de compatibilidade / teste de regressão e provavelmente envolveria a construção da biblioteca em questão a partir da fonte.

Se você não consegue lidar com certificados modernos (de uma raiz > = 2048 bit e com assinaturas sha256), você começará a ter problemas com praticamente qualquer serviço ssl em um futuro próximo, não apenas com paypal.

score 9 · Answer 4

Como ewwhite salientou, o RHEL4 tem sido o EOL desde 2012 .

Por que você não pode atualizar? ~~Se o problema for o custo de licenciamento, há CentOS~~ . Se o problema é algum tipo de dependência de código, um. Eu não tenho uma resposta simplista para isso, como eu faço para o custo, mas isso só vai piorar com o tempo.

Eu entenderia se isso fosse algo legado que você deveria manter por motivos de conformidade legal (e mantido longe, longe da internet), mas essa é a sua linha de negócios real da qual você está falando. Você não quer se tornar uma estatística. Apenas um lembrete: a Home Depot gastou US $ 43.000.000 em sua violação de dados.

Por favor, reconsidere a postura de "atualizar nossos servidores não é uma opção".