Bỏ qua nâng cấp Paypal

PayPal đang thực hiện nâng cấp chứng chỉ SSL trên tất cả các điểm cuối của web và API. Do những lo ngại về bảo mật đối với những tiến bộ về sức mạnh tính toán, ngành công nghiệp đang loại bỏ chứng chỉ SSL 1024 bit (G2) để ủng hộ chứng chỉ 2048 bit (G5) và đang hướng tới một thuật toán mã hóa dữ liệu cường độ cao hơn để bảo mật dữ liệu, SHA -2 (256) so với tiêu chuẩn thuật toán SHA-1 cũ hơn.

Tuy nhiên, chúng tôi vẫn đang sử dụng các hệ thống không tương thích với các bản nâng cấp và cập nhật máy chủ của chúng tôi không phải là một tùy chọn. Vì vậy, những gì chúng tôi nghĩ là proxy (nginx) điểm cuối paypal để paypal nghĩ rằng máy chủ nginx (hỗ trợ cập nhật) đang đánh vào điểm cuối đó thay vì máy chủ cũ của chúng tôi. Điều này có thể không? Nếu không, các tùy chọn có thể để bỏ qua nâng cấp này là gì?

Đây là một cấu hình mẫu của proxy nginx

 người phục vụ {
    nghe 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    vị trí / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Lưu trữ $ http_host;
    }
} 

Đây không phải là một bản nâng cấp và nhiều cơ hội để xây dựng lại và tái cấu trúc. Các hệ thống RHEL4 này đã được sản xuất trong bao lâu? 2006? 2007?

Có phải tổ chức của bạn đã bỏ qua lịch trình vòng đời của Red Hat và cảnh báo về việc kết thúc thời gian hỗ trợ? Điều đó có nghĩa là tất cả các hệ thống này đang chạy chưa từng có kể từ khi gói phát hành cuối cùng?

Bạn có thể đưa ra một số lý do về lý do tại sao bạn vẫn còn trên RHEL4? Điều đó thực sự đã đi vào cuối cuộc đời vào năm 2012. Trong khoảng thời gian đó, có cơ hội để xây dựng lại.

Đối với vấn đề cụ thể này, tôi nghĩ cách tiếp cận tốt nhất là đánh giá nỗ lực xây dựng lại hệ điều hành hiện tại. EL6 hoặc EL7 sẽ là những ứng cử viên tốt và sẽ được hỗ trợ tích cực.

Thật khó khăn (và trong trường hợp này là vô dụng) đi ngược chiều gió vậy, tại sao bạn không theo dõi nó? Tôi có thể hiểu rằng đôi khi nâng cấp có thể là một nỗi đau ở mông nhưng nó đáng giá.

Ngoài ra, việc không thể làm việc với các 2048-bitchứng chỉ sẽ khiến bạn gặp nhiều vấn đề hơn trong vài năm tới. Tôi đoán không chỉ paypal, mà nhiều dịch vụ khác sẽ quên 1024-bitvà không thể theo dõi các bản nâng cấp sẽ khiến bạn phát điên khi khiến mọi thứ hoạt động.

Về nguyên tắc tôi thấy không có lý do tại sao sử dụng proxy sẽ không hoạt động. Tôi không biết đủ về nginx để biết liệu cấu hình cụ thể đó có hoạt động hay không.

Một tùy chọn khác có thể đáng xem xét là nâng cấp thư viện ssl / tls và kho chứng chỉ gốc mà không cần nâng cấp toàn bộ HĐH. Rõ ràng điều này sẽ yêu cầu một số mức độ kiểm tra tương thích / hồi quy và có khả năng sẽ liên quan đến việc xây dựng thư viện theo yêu cầu từ nguồn.

Nếu bạn không thể xử lý các chứng chỉ hiện đại (từ gốc> = 2048 bit và với chữ ký sha256), bạn sẽ bắt đầu gặp vấn đề với khá nhiều dịch vụ ssl trong tương lai gần, không chỉ là paypal.

Như ewwhite đã chỉ ra, RHEL4 đã là EOL từ năm 2012 .

Tại sao bạn không thể nâng cấp? Nếu vấn đề là chi phí cấp phép, có CentOS . Nếu vấn đề là một số loại phụ thuộc mã, um. Tôi không có câu trả lời hóc búa cho điều đó giống như tôi làm với chi phí, nhưng nó sẽ chỉ trở nên tồi tệ hơn theo thời gian.

Tôi hiểu nếu đây là một số di sản mà bạn bắt buộc phải giữ vì lý do tuân thủ pháp luật (và cách xa internet), nhưng đây là ngành kinh doanh thực tế của bạn mà bạn đang nói đến. Bạn không muốn trở thành một thống kê. Xin nhắc lại: Home Depot đã chi 43.000.000 đô la cho việc vi phạm dữ liệu của họ.

Vui lòng xem xét lại lập trường "cập nhật máy chủ của chúng tôi không phải là một lựa chọn".