Obejdź aktualizację Paypal

16

PayPal dokonuje aktualizacji certyfikatów SSL we wszystkich punktach końcowych sieci i interfejsu API. Ze względu na obawy związane z bezpieczeństwem związane z postępem w dziedzinie mocy obliczeniowej przemysł wycofuje 1024-bitowe certyfikaty SSL (G2) na rzecz certyfikatów 2048-bitowych (G5) i zmierza w kierunku algorytmu szyfrowania danych o wyższej sile, aby zabezpieczyć transmisję danych, SHA -2 (256) w stosunku do starszego standardu algorytmu SHA-1.

Nadal jednak używamy systemów niezgodnych z aktualizacjami, a aktualizacja naszych serwerów nie jest opcją. Tak więc naszym zdaniem jest proxy (nginx) punktu końcowego paypal, aby paypal myślał, że serwer nginx (który obsługuje aktualizację) uderza w ten punkt końcowy zamiast naszych starych serwerów. czy to możliwe? jeśli nie, jakie są możliwe opcje obejścia tego uaktualnienia?

Oto przykładowa konfiguracja serwera proxy nginx

 serwer {
    słuchaj 80;
    nazwa_serwera api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    lokalizacja / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 
Melton
źródło
62
Już zbyt długo odłożyłeś te aktualizacje. W tym momencie aktualizacja serwerów jest jedyną opcją, którą powinieneś rozważyć. Po prostu posiadanie tych rzeczy w produkcji wystarczy, aby nie przejść właściwego audytu bezpieczeństwa.
Michael Hampton
34
„a aktualizacja naszych serwerów nie wchodzi w grę”. - Jestem pewien, że może to być trudne, ale naprawdę musi stać się opcją. W cyklu życia dowolnego systemu pojawia się moment, kiedy trzeba go przesunąć do przodu i już minął.
Rob Moir
19
„aktualizacja naszych serwerów nie wchodzi w grę”. Dlaczego aktualizacja nie jest opcją? Czy masz starszy kod, który używa dziwactwa RHEL4? Czy twoje oprogramowanie ma wtyczkę, która nie jest już obsługiwana w RHEL 6 lub 7?
Nzall 28.04.16
26
Mam zamiar powtórzyć tutaj refren. Dowiedz się, dlaczego aktualizacja nie jest opcją, napraw to , a następnie zaktualizuj. Paypal nie robi tego tylko dlatego, że czują się jak kutasy.
Shadur
32
Jako osoba dbająca o bezpieczeństwo i znająca się na komputerze, gdybym była twoim klientem i dowiedziała się, że zrobiłeś to, co próbujesz zrobić, natychmiast przestałbym współpracować z Twoją firmą i najprawdopodobniej nigdy więcej nie kupiłbym niczego od Twojej firmy.
Shaamaan

Odpowiedzi:

74

Jest to mniej ulepszenie, a bardziej okazja do przebudowy i refaktoryzacji. Jak długo te systemy RHEL4 są w produkcji? 2006? 2007?

Czy Twoja organizacja zignorowała harmonogram cyklu życia Red Hat i ostrzeżenia o zakończeniu okresów wsparcia? Czy to oznacza, że ​​wszystkie te systemy działają bez porównania od czasu wydania ostatnich pakietów?

Czy możesz podać powód, dla którego nadal korzystasz z RHEL4? To naprawdę skończyło się w 2012 roku. W tym czasie istniała okazja, aby po prostu odbudować.

W przypadku tego konkretnego problemu, moim zdaniem najlepszym podejściem jest zmierzenie wysiłku, aby przebudować system na bardziej aktualny. EL6 lub EL7 byłyby dobrymi kandydatami i podlegałyby aktywnemu wsparciu.

ewwhite
źródło
32
To. Jeśli twoje systemy są tak stare, że nie można ich uaktualnić, są zdecydowanie tak stare, że nie można już im ufać, że będą bezpieczne.
Shadur
20

Jest tak ciężko (iw tym przypadku bezużyteczne) chodzenie pod wiatr, więc dlaczego zamiast tego nie pójść za nim? Rozumiem, że czasami ulepszanie może być uciążliwe, ale warto.

Ponadto niemożność pracy z 2048-bitcertyfikatami doprowadzi Cię do wielu innych problemów w ciągu najbliższych kilku lat. Wydaje mi się, że nie tylko paypal, ale wiele innych usług zapomni o tym, 1024-bita niemożność śledzenia aktualizacji sprawi, że oszalejesz, aby wszystko działało.

dysfiend
źródło
13
Windows i iOS, Chrome, Mozilla, wszystkie nie akceptują certyfikatów SHA1 po 01.01.2017. Będzie to więc krótka poprawka tylko dla PayPal. Jedyne, co mogę sobie wyobrazić, że są drogie do wymiany, to takie jak terminale PIN do płatności kartą kredytową.
TJJ
5
Będzie jeszcze bardziej „drogo”, gdy klienci cię opuszczą ...
sysfiend
11

Zasadniczo nie widzę powodu, dla którego używanie proxy nie działałoby. Nie wiem wystarczająco dużo o nginx, aby wiedzieć, czy ta konkretna konfiguracja będzie działać, czy nie.

Inną opcją, którą warto rozważyć, jest aktualizacja biblioteki ssl / tls i głównego magazynu certyfikatów bez aktualizacji systemu operacyjnego jako całości. Oczywiście wymagałoby to pewnego poziomu testów zgodności / regresji i prawdopodobnie wymagałoby zbudowania danej biblioteki ze źródła.

Jeśli nie poradzisz sobie z nowoczesnymi certyfikatami (z katalogu głównego = 2048 bitów i podpisami sha256), w najbliższej przyszłości zaczniesz mieć problemy z praktycznie dowolną usługą ssl, nie tylko z paypal.

Peter Green
źródło
3
Ani RHEL 4, ani RHEL 5 nie będą obsługiwać nowoczesnych certyfikatów SHA-2.
Michael Hampton
9

Jak zauważył ewwhite, RHEL4 jest EOL od 2012 roku .

Dlaczego nie możesz zaktualizować? Jeśli problemem są koszty licencji, istnieje CentOS . Jeśli problemem jest jakaś zależność kodu, um. Nie mam na to jednoznacznej odpowiedzi, tak jak w przypadku kosztów, ale z czasem sytuacja się pogorszy.

Zrozumiałbym, gdyby była to jakaś starsza rzecz, którą musiałeś zachować ze względów prawnych (i trzymano ją z dala od Internetu), ale o tym właśnie mówisz. Nie chcesz stać się statystyką. Przypominamy: Home Depot wydał 43 000 000 USD na naruszenie danych.

Proszę ponownie rozważyć stanowisko „aktualizacja naszych serwerów nie jest opcją”.

Katherine Villyard
źródło
5
Licencje RHEL nie są zablokowane w wersji. Jeśli płacisz za RHEL 4, możesz uaktualnić do RHEL 7 (bieżący) z tym samym uprawnieniem.
Michael Hampton