Обойти Paypal Upgrade

16

PayPal обновляет сертификаты SSL на всех конечных точках сети и API. Из-за проблем безопасности в связи с достижениями в области вычислительной мощности отрасль постепенно отказывается от 1024-битных сертификатов SSL (G2) в пользу 2048-битных сертификатов (G5) и движется к более высокопроизводительному алгоритму шифрования данных для безопасной передачи данных, SHA -2 (256) по сравнению со старым стандартом алгоритма SHA-1.

Однако мы по-прежнему используем системы, несовместимые с обновлениями, и обновление наших серверов невозможно. Итак, мы думаем о том, чтобы прокси (nginx) конечную точку PayPal, чтобы PayPal думал, что сервер nginx (который поддерживает обновление) использует эту конечную точку вместо наших старых серверов. Это возможно? если нет, каковы возможные варианты, чтобы обойти это обновление?

Вот пример конфигурации прокси-сервера nginx

 сервер {
    слушай 80;
    имя_сервера api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 
мельтон
источник
62
Вы уже слишком долго откладывали эти обновления. На данный момент обновление серверов является единственным вариантом, который вы должны рассмотреть. Простого наличия этих вещей в производстве достаточно, чтобы провалить надлежащий аудит безопасности.
Майкл Хэмптон
34
«и обновление наших серверов не вариант». - Я уверен, что это может быть сложно, но это действительно должно стать вариантом. В жизненном цикле любой системы наступает момент, когда вам нужно продвинуть его вперед, и вы уже прошли этот этап.
Роб Мойр
19
msgstr "обновление наших серверов не вариант". Почему обновление не вариант? У вас есть устаревший код, который использует причуду RHEL4? Есть ли в вашем программном обеспечении плагин, который больше не поддерживается в RHEL 6 или 7?
Nzall
26
Я собираюсь повторить хор здесь. Выясните, почему обновление не вариант, исправьте это , затем обновите. Paypal не делает это только потому, что они чувствуют себя как члены.
Шадур
32
Как человек, заботящийся о безопасности и обладающий компьютерной грамотностью, если бы я был вашим клиентом и узнал, что вы сделали то, что вы пытаетесь сделать, я бы немедленно прекратил работать с вашей компанией и, скорее всего, никогда больше ничего не купил бы у вашей компании.
Shaamaan

Ответы:

74

Это не просто обновление, а больше возможностей для перестройки и рефакторинга. Как долго эти системы RHEL4 были в производстве? 2006? 2007?

Ваша организация игнорировала расписание жизненного цикла Red Hat и предупреждения об окончании периодов поддержки? Означает ли это, что все эти системы работают бесподобно с момента последнего выпуска пакета?

Можете ли вы объяснить, почему вы все еще на RHEL4? Это действительно закончилось в 2012 году. За это время появилась возможность просто восстановить.

Для этой конкретной проблемы, я думаю, лучший подход - оценить усилия по перестройке на более современную ОС. EL6 или EL7 будут хорошими кандидатами и окажутся под активной поддержкой.

ewwhite
источник
32
Эта. Если ваши системы настолько стары, что их нельзя модернизировать, то они определенно настолько стары, что им уже нельзя доверять в плане безопасности.
Шадур
20

Так трудно (и в этом случае бесполезно) идти против ветра, так почему бы тебе не следовать за ним? Я могу понять, что обновление может быть болью в заднице иногда, но оно того стоит.

Кроме того, отсутствие возможности работать с 2048-bitсертификатами приведет к еще большему количеству проблем в ближайшие несколько лет. Я предполагаю, что не только PayPal, но и многие другие сервисы забудут о том, что если вы 1024-bitне сможете следить за обновлениями, вы станете сумасшедшими, чтобы заставить вещи работать.

sysfiend
источник
13
Windows и iOS, Chrome, Mozilla, все не принимают сертификаты SHA1 после 01.01.2017. Так что это будет короткое исправление только для PayPal. Единственное, что я могу себе представить, дорого заменить, это такие вещи, как PIN-терминалы для оплаты кредитной картой или около того.
TJJ
5
Это будет еще дороже, когда клиенты оставят тебя ...
sysfiend
11

В принципе я не вижу причин, по которым использование прокси не сработает. Я не знаю достаточно о nginx, чтобы знать, будет ли работать этот конкретный конфиг или нет.

Другой вариант, который стоит рассмотреть, - это обновление библиотеки ssl / tls и хранилища корневых сертификатов без обновления ОС в целом. Очевидно, что это потребует некоторого уровня совместимости / регрессионного тестирования и, скорее всего, потребует создания соответствующей библиотеки из исходного кода.

Если вы не можете обрабатывать современные сертификаты (от> = 2048 битного корня и с сигнатурами sha256), то в ближайшем будущем у вас начнутся проблемы с почти любым ssl-сервисом, а не только с PayPal.

Питер Грин
источник
3
Ни RHEL 4, ни RHEL 5 не будут обрабатывать современные сертификаты SHA-2.
Майкл Хэмптон
9

Как отметил ewwhite, RHEL4 является EOL с 2012 года .

Почему вы не можете обновить? Если проблема заключается в стоимости лицензирования, есть CentOS . Если проблема в какой-то зависимости кода, хм. У меня нет бойкого ответа на это, как я делаю для стоимости, но это только ухудшится со временем.

Я бы понял, если бы это было чем-то унаследованным, что вы должны были держать по закону из соображений соответствия (и держаться далеко, далеко от Интернета), но вы говорите именно об этом вашем реальном бизнесе. Вы не хотите стать статистикой. Просто напоминание: Home Depot потратила 43 000 000 долларов на взлом данных.

Пожалуйста, пересмотрите позицию «обновление наших серверов - это не вариант».

Кэтрин Вилляр
источник
5
Лицензии RHEL не заблокированы по версии. Если вы платите за RHEL 4, вы можете полностью перейти на RHEL 7 (текущий) с тем же правом.
Майкл Хэмптон