PayPal обновляет сертификаты SSL на всех конечных точках сети и API. Из-за проблем безопасности в связи с достижениями в области вычислительной мощности отрасль постепенно отказывается от 1024-битных сертификатов SSL (G2) в пользу 2048-битных сертификатов (G5) и движется к более высокопроизводительному алгоритму шифрования данных для безопасной передачи данных, SHA -2 (256) по сравнению со старым стандартом алгоритма SHA-1.
Однако мы по-прежнему используем системы, несовместимые с обновлениями, и обновление наших серверов невозможно. Итак, мы думаем о том, чтобы прокси (nginx) конечную точку PayPal, чтобы PayPal думал, что сервер nginx (который поддерживает обновление) использует эту конечную точку вместо наших старых серверов. Это возможно? если нет, каковы возможные варианты, чтобы обойти это обновление?
Вот пример конфигурации прокси-сервера nginx
сервер { слушай 80; имя_сервера api.sandbox.paypal.com; access_log /var/log/nginx/api.sandbox.paypal.com.access.log; error_log /var/log/nginx/api.sandbox.paypal.com.error.log; location / nvp { proxy_pass https://api.sandbox.paypal.com/nvp; proxy_set_header X-Real-IP $ remote_addr; proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; proxy_set_header Host $ http_host; } }
Ответы:
Это не просто обновление, а больше возможностей для перестройки и рефакторинга. Как долго эти системы RHEL4 были в производстве? 2006? 2007?
Ваша организация игнорировала расписание жизненного цикла Red Hat и предупреждения об окончании периодов поддержки? Означает ли это, что все эти системы работают бесподобно с момента последнего выпуска пакета?
Можете ли вы объяснить, почему вы все еще на RHEL4? Это действительно закончилось в 2012 году. За это время появилась возможность просто восстановить.
Для этой конкретной проблемы, я думаю, лучший подход - оценить усилия по перестройке на более современную ОС. EL6 или EL7 будут хорошими кандидатами и окажутся под активной поддержкой.
источник
Так трудно (и в этом случае бесполезно) идти против ветра, так почему бы тебе не следовать за ним? Я могу понять, что обновление может быть болью в заднице иногда, но оно того стоит.
Кроме того, отсутствие возможности работать с
2048-bit
сертификатами приведет к еще большему количеству проблем в ближайшие несколько лет. Я предполагаю, что не только PayPal, но и многие другие сервисы забудут о том, что если вы1024-bit
не сможете следить за обновлениями, вы станете сумасшедшими, чтобы заставить вещи работать.источник
В принципе я не вижу причин, по которым использование прокси не сработает. Я не знаю достаточно о nginx, чтобы знать, будет ли работать этот конкретный конфиг или нет.
Другой вариант, который стоит рассмотреть, - это обновление библиотеки ssl / tls и хранилища корневых сертификатов без обновления ОС в целом. Очевидно, что это потребует некоторого уровня совместимости / регрессионного тестирования и, скорее всего, потребует создания соответствующей библиотеки из исходного кода.
Если вы не можете обрабатывать современные сертификаты (от> = 2048 битного корня и с сигнатурами sha256), то в ближайшем будущем у вас начнутся проблемы с почти любым ssl-сервисом, а не только с PayPal.
источник
Как отметил ewwhite, RHEL4 является EOL с 2012 года .
Почему вы не можете обновить?
Если проблема заключается в стоимости лицензирования, есть CentOS. Если проблема в какой-то зависимости кода, хм. У меня нет бойкого ответа на это, как я делаю для стоимости, но это только ухудшится со временем.Я бы понял, если бы это было чем-то унаследованным, что вы должны были держать по закону из соображений соответствия (и держаться далеко, далеко от Интернета), но вы говорите именно об этом вашем реальном бизнесе. Вы не хотите стать статистикой. Просто напоминание: Home Depot потратила 43 000 000 долларов на взлом данных.
Пожалуйста, пересмотрите позицию «обновление наших серверов - это не вариант».
источник