PayPal dokonuje aktualizacji certyfikatów SSL we wszystkich punktach końcowych sieci i interfejsu API. Ze względu na obawy związane z bezpieczeństwem związane z postępem w dziedzinie mocy obliczeniowej przemysł wycofuje 1024-bitowe certyfikaty SSL (G2) na rzecz certyfikatów 2048-bitowych (G5) i zmierza w kierunku algorytmu szyfrowania danych o wyższej sile, aby zabezpieczyć transmisję danych, SHA -2 (256) w stosunku do starszego standardu algorytmu SHA-1.
Nadal jednak używamy systemów niezgodnych z aktualizacjami, a aktualizacja naszych serwerów nie jest opcją. Tak więc naszym zdaniem jest proxy (nginx) punktu końcowego paypal, aby paypal myślał, że serwer nginx (który obsługuje aktualizację) uderza w ten punkt końcowy zamiast naszych starych serwerów. czy to możliwe? jeśli nie, jakie są możliwe opcje obejścia tego uaktualnienia?
Oto przykładowa konfiguracja serwera proxy nginx
serwer { słuchaj 80; nazwa_serwera api.sandbox.paypal.com; access_log /var/log/nginx/api.sandbox.paypal.com.access.log; error_log /var/log/nginx/api.sandbox.paypal.com.error.log; lokalizacja / nvp { proxy_pass https://api.sandbox.paypal.com/nvp; proxy_set_header X-Real-IP $ remote_addr; proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; proxy_set_header Host $ http_host; } }
Odpowiedzi:
Jest to mniej ulepszenie, a bardziej okazja do przebudowy i refaktoryzacji. Jak długo te systemy RHEL4 są w produkcji? 2006? 2007?
Czy Twoja organizacja zignorowała harmonogram cyklu życia Red Hat i ostrzeżenia o zakończeniu okresów wsparcia? Czy to oznacza, że wszystkie te systemy działają bez porównania od czasu wydania ostatnich pakietów?
Czy możesz podać powód, dla którego nadal korzystasz z RHEL4? To naprawdę skończyło się w 2012 roku. W tym czasie istniała okazja, aby po prostu odbudować.
W przypadku tego konkretnego problemu, moim zdaniem najlepszym podejściem jest zmierzenie wysiłku, aby przebudować system na bardziej aktualny. EL6 lub EL7 byłyby dobrymi kandydatami i podlegałyby aktywnemu wsparciu.
źródło
Jest tak ciężko (iw tym przypadku bezużyteczne) chodzenie pod wiatr, więc dlaczego zamiast tego nie pójść za nim? Rozumiem, że czasami ulepszanie może być uciążliwe, ale warto.
Ponadto niemożność pracy z
2048-bit
certyfikatami doprowadzi Cię do wielu innych problemów w ciągu najbliższych kilku lat. Wydaje mi się, że nie tylko paypal, ale wiele innych usług zapomni o tym,1024-bit
a niemożność śledzenia aktualizacji sprawi, że oszalejesz, aby wszystko działało.źródło
Zasadniczo nie widzę powodu, dla którego używanie proxy nie działałoby. Nie wiem wystarczająco dużo o nginx, aby wiedzieć, czy ta konkretna konfiguracja będzie działać, czy nie.
Inną opcją, którą warto rozważyć, jest aktualizacja biblioteki ssl / tls i głównego magazynu certyfikatów bez aktualizacji systemu operacyjnego jako całości. Oczywiście wymagałoby to pewnego poziomu testów zgodności / regresji i prawdopodobnie wymagałoby zbudowania danej biblioteki ze źródła.
Jeśli nie poradzisz sobie z nowoczesnymi certyfikatami (z katalogu głównego = 2048 bitów i podpisami sha256), w najbliższej przyszłości zaczniesz mieć problemy z praktycznie dowolną usługą ssl, nie tylko z paypal.
źródło
Jak zauważył ewwhite, RHEL4 jest EOL od 2012 roku .
Dlaczego nie możesz zaktualizować?
Jeśli problemem są koszty licencji, istnieje CentOS. Jeśli problemem jest jakaś zależność kodu, um. Nie mam na to jednoznacznej odpowiedzi, tak jak w przypadku kosztów, ale z czasem sytuacja się pogorszy.Zrozumiałbym, gdyby była to jakaś starsza rzecz, którą musiałeś zachować ze względów prawnych (i trzymano ją z dala od Internetu), ale o tym właśnie mówisz. Nie chcesz stać się statystyką. Przypominamy: Home Depot wydał 43 000 000 USD na naruszenie danych.
Proszę ponownie rozważyć stanowisko „aktualizacja naszych serwerów nie jest opcją”.
źródło