Bỏ qua nâng cấp Paypal


16

PayPal đang thực hiện nâng cấp chứng chỉ SSL trên tất cả các điểm cuối của web và API. Do những lo ngại về bảo mật đối với những tiến bộ về sức mạnh tính toán, ngành công nghiệp đang loại bỏ chứng chỉ SSL 1024 bit (G2) để ủng hộ chứng chỉ 2048 bit (G5) và đang hướng tới một thuật toán mã hóa dữ liệu cường độ cao hơn để bảo mật dữ liệu, SHA -2 (256) so với tiêu chuẩn thuật toán SHA-1 cũ hơn.

Tuy nhiên, chúng tôi vẫn đang sử dụng các hệ thống không tương thích với các bản nâng cấp và cập nhật máy chủ của chúng tôi không phải là một tùy chọn. Vì vậy, những gì chúng tôi nghĩ là proxy (nginx) điểm cuối paypal để paypal nghĩ rằng máy chủ nginx (hỗ trợ cập nhật) đang đánh vào điểm cuối đó thay vì máy chủ cũ của chúng tôi. Điều này có thể không? Nếu không, các tùy chọn có thể để bỏ qua nâng cấp này là gì?

Đây là một cấu hình mẫu của proxy nginx

 người phục vụ {
    nghe 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    vị trí / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Lưu trữ $ http_host;
    }
} 

62
Bạn đã bỏ những nâng cấp này quá lâu rồi. Tại thời điểm này, nâng cấp các máy chủ là lựa chọn duy nhất bạn nên xem xét. Chỉ cần có những thứ đó trong sản xuất là đủ để không thực hiện kiểm toán bảo mật thích hợp.
Michael Hampton

34
"và cập nhật máy chủ của chúng tôi không phải là một lựa chọn." - Tôi chắc chắn rằng nó có thể khó khăn, nhưng nó thực sự cần phải trở thành một lựa chọn. Có một điểm trong vòng đời của bất kỳ hệ thống nào khi bạn cần di chuyển nó về phía trước và bạn đã vượt qua điều đó ở đây.
Rob Moir

19
"Cập nhật máy chủ của chúng tôi không phải là một lựa chọn". Tại sao cập nhật không phải là một lựa chọn? Bạn có mã kế thừa sử dụng một cách giải quyết của RHEL4 không? Phần mềm của bạn có plugin không còn được hỗ trợ trên RHEL 6 hay 7 không?
Nzall

26
Tôi sẽ lặp lại điệp khúc ở đây. Tìm hiểu tại sao nâng cấp không phải là một tùy chọn, sửa , sau đó nâng cấp. Paypal không làm điều này chỉ vì họ cảm thấy như bị đá.
Shadur

32
Là một người có ý thức bảo mật và hiểu biết về máy tính, nếu tôi là khách hàng của bạn và phát hiện ra bạn đã làm những gì bạn đang cố gắng, tôi sẽ ngay lập tức ngừng làm việc với công ty của bạn và rất có thể sẽ không bao giờ mua bất cứ thứ gì từ công ty của bạn nữa.
Shaamaan

Câu trả lời:


74

Đây không phải là một bản nâng cấp và nhiều cơ hội để xây dựng lại và tái cấu trúc. Các hệ thống RHEL4 này đã được sản xuất trong bao lâu? 2006? 2007?

Có phải tổ chức của bạn đã bỏ qua lịch trình vòng đời của Red Hat và cảnh báo về việc kết thúc thời gian hỗ trợ? Điều đó có nghĩa là tất cả các hệ thống này đang chạy chưa từng có kể từ khi gói phát hành cuối cùng?

Bạn có thể đưa ra một số lý do về lý do tại sao bạn vẫn còn trên RHEL4? Điều đó thực sự đã đi vào cuối cuộc đời vào năm 2012. Trong khoảng thời gian đó, có cơ hội để xây dựng lại.

Đối với vấn đề cụ thể này, tôi nghĩ cách tiếp cận tốt nhất là đánh giá nỗ lực xây dựng lại hệ điều hành hiện tại. EL6 hoặc EL7 sẽ là những ứng cử viên tốt và sẽ được hỗ trợ tích cực.


32
Điều này. Nếu hệ thống của bạn quá cũ đến mức chúng không thể được nâng cấp thì chắc chắn chúng đã cũ đến mức chúng không thể được tin cậy để bảo mật nữa.
Shadur

20

Thật khó khăn (và trong trường hợp này là vô dụng) đi ngược chiều gió vậy, tại sao bạn không theo dõi nó? Tôi có thể hiểu rằng đôi khi nâng cấp có thể là một nỗi đau ở mông nhưng nó đáng giá.

Ngoài ra, việc không thể làm việc với các 2048-bitchứng chỉ sẽ khiến bạn gặp nhiều vấn đề hơn trong vài năm tới. Tôi đoán không chỉ paypal, mà nhiều dịch vụ khác sẽ quên 1024-bitvà không thể theo dõi các bản nâng cấp sẽ khiến bạn phát điên khi khiến mọi thứ hoạt động.


13
Windows và iOS, chrome, Mozilla, tất cả đều không chấp nhận certs SHA1 sau 1/1/2017. Vì vậy, nó sẽ là một sửa chữa ngắn chỉ cho PayPal. Điều duy nhất tôi có thể tưởng tượng là đắt tiền để thay thế là những thứ như thiết bị đầu cuối PIN để thanh toán bằng thẻ tín dụng hoặc hơn thế.
TJJ

5
Sẽ còn "đắt hơn" khi khách hàng rời bỏ bạn ...
sysfiend

11

Về nguyên tắc tôi thấy không có lý do tại sao sử dụng proxy sẽ không hoạt động. Tôi không biết đủ về nginx để biết liệu cấu hình cụ thể đó có hoạt động hay không.

Một tùy chọn khác có thể đáng xem xét là nâng cấp thư viện ssl / tls và kho chứng chỉ gốc mà không cần nâng cấp toàn bộ HĐH. Rõ ràng điều này sẽ yêu cầu một số mức độ kiểm tra tương thích / hồi quy và có khả năng sẽ liên quan đến việc xây dựng thư viện theo yêu cầu từ nguồn.

Nếu bạn không thể xử lý các chứng chỉ hiện đại (từ gốc> = 2048 bit và với chữ ký sha256), bạn sẽ bắt đầu gặp vấn đề với khá nhiều dịch vụ ssl trong tương lai gần, không chỉ là paypal.


3
Cả RHEL 4 và RHEL 5 đều không xử lý các chứng chỉ SHA-2 hiện đại.
Michael Hampton

9

Như ewwhite đã chỉ ra, RHEL4 đã là EOL từ năm 2012 .

Tại sao bạn không thể nâng cấp? Nếu vấn đề là chi phí cấp phép, có CentOS . Nếu vấn đề là một số loại phụ thuộc mã, um. Tôi không có câu trả lời hóc búa cho điều đó giống như tôi làm với chi phí, nhưng nó sẽ chỉ trở nên tồi tệ hơn theo thời gian.

Tôi hiểu nếu đây là một số di sản mà bạn bắt buộc phải giữ vì lý do tuân thủ pháp luật (và cách xa internet), nhưng đây là ngành kinh doanh thực tế của bạn mà bạn đang nói đến. Bạn không muốn trở thành một thống kê. Xin nhắc lại: Home Depot đã chi 43.000.000 đô la cho việc vi phạm dữ liệu của họ.

Vui lòng xem xét lại lập trường "cập nhật máy chủ của chúng tôi không phải là một lựa chọn".


5
Giấy phép RHEL không phải là phiên bản bị khóa. Nếu bạn đang trả tiền cho RHEL 4, bạn có thể nâng cấp tất cả các cách lên RHEL 7 (hiện tại) trên cùng một quyền lợi.
Michael Hampton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.