Lewati Peningkatan Paypal

PayPal melakukan peningkatan ke sertifikat SSL di semua titik akhir web dan API. Karena kekhawatiran keamanan atas kemajuan daya komputasi, industri ini menghapus secara bertahap sertifikat SSL 1024-bit (G2) yang mendukung sertifikat 2048-bit (G5), dan sedang bergerak ke arah algoritma enkripsi data kekuatan yang lebih tinggi untuk mengamankan transmisi data, SHA -2 (256) melebihi standar algoritma SHA-1 yang lebih lama.

Namun, kami masih menggunakan sistem yang tidak kompatibel dengan peningkatan dan memperbarui server kami bukanlah suatu pilihan. Jadi, apa yang kami pikirkan adalah proksi (nginx) titik akhir paypal sehingga paypal berpikir bahwa server nginx (yang mendukung pembaruan) memukul titik akhir itu alih-alih server lama kami. Apakah ini mungkin? jika tidak, apa saja opsi yang memungkinkan untuk mem-bypass upgrade ini?

Berikut adalah contoh konfigurasi proksi nginx

 server {
    dengarkan 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    lokasi / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 

Ini kurang dari peningkatan dan lebih banyak kesempatan untuk membangun kembali dan refactor. Berapa lama sistem RHEL4 ini diproduksi? 2006? 2007?

Apakah organisasi Anda mengabaikan jadwal siklus hidup Red Hat dan peringatan tentang akhir periode dukungan? Apakah itu berarti semua sistem ini berjalan tidak tertandingi sejak paket terakhir dirilis?

Bisakah Anda memberi alasan mengapa Anda masih menggunakan RHEL4? Itu benar-benar berakhir pada tahun 2012. Dalam periode waktu itu, ada peluang untuk membangun kembali.

Untuk masalah khusus ini, saya pikir pendekatan terbaik adalah mengukur upaya untuk membangun kembali ke OS yang lebih saat ini. EL6 atau EL7 akan menjadi kandidat yang baik dan akan berada di bawah dukungan aktif.

Sangat sulit (dan dalam hal ini tidak berguna) berjalan melawan angin jadi, mengapa Anda tidak mengikutinya saja? Saya bisa mengerti bahwa peningkatan kadang-kadang mungkin menyebalkan, tetapi itu sangat berharga.

Selain itu, belum bisa bekerja dengan 2048-bitsertifikat akan membawa Anda dalam banyak masalah lagi dalam beberapa tahun ke depan. Saya kira tidak hanya paypal, tetapi banyak layanan lain akan melupakan 1024-bitdan tidak dapat mengikuti peningkatan akan membuat Anda menjadi gila untuk membuat hal-hal berfungsi.

Pada prinsipnya saya tidak melihat alasan mengapa menggunakan proxy tidak akan berfungsi. Saya tidak cukup tahu tentang nginx untuk mengetahui apakah konfigurasi tertentu akan bekerja atau tidak.

Opsi lain yang mungkin patut dipertimbangkan adalah memutakhirkan pustaka ssl / tls dan penyimpanan sertifikat root tanpa memutakhirkan OS secara keseluruhan. Jelas ini akan memerlukan beberapa tingkat pengujian kompatibilitas / regresi dan kemungkinan akan melibatkan membangun perpustakaan yang dimaksud dari sumber.

Jika Anda tidak dapat menangani sertifikat modern (dari> = 2048 bit root dan dengan tanda tangan sha256), Anda akan mulai mengalami masalah dengan hampir semua layanan ssl dalam waktu dekat, bukan hanya paypal.

Seperti ewwhite tunjukkan, RHEL4 telah menjadi EOL sejak 2012 .

Mengapa Anda tidak bisa memutakhirkan? Jika masalahnya adalah biaya lisensi, ada CentOS . Jika masalahnya adalah semacam ketergantungan kode, um. Saya tidak punya jawaban fasih untuk itu seperti saya lakukan untuk biaya, tetapi itu hanya akan menjadi lebih buruk dari waktu ke waktu.

Saya mengerti jika ini adalah warisan yang harus Anda pertahankan karena alasan kepatuhan hukum (dan tetap jauh, jauh dari internet), tetapi ini adalah lini bisnis Anda yang sebenarnya sedang Anda bicarakan. Anda tidak ingin menjadi statistik. Hanya pengingat: Home Depot menghabiskan $ 43.000.000 untuk pelanggaran data mereka.

Harap pertimbangkan kembali sikap "memperbarui server kami bukan opsi".