บายพาสการอัปเกรด Paypal

16

PayPal กำลังอัปเกรดเป็นใบรับรอง SSL ในทุกจุดสิ้นสุดของเว็บและ API เนื่องจากความกังวลด้านความปลอดภัยมากกว่าความก้าวหน้าในอำนาจการใช้งานคอมพิวเตอร์อุตสาหกรรมจึงยกเลิกใบรับรอง SSL 1024 บิต (G2) แทนใบรับรอง 2048 บิต (G5) และย้ายไปสู่อัลกอริธึมการเข้ารหัสข้อมูลที่มีความแข็งแรงสูงกว่าเพื่อรักษาความปลอดภัยการส่งข้อมูล SHA -2 (256) เหนือมาตรฐานอัลกอริทึม SHA-1 ที่เก่ากว่า

อย่างไรก็ตามเรายังคงใช้ระบบที่ไม่รองรับการอัปเกรดและการอัปเดตเซิร์ฟเวอร์ของเราไม่ใช่ตัวเลือก ดังนั้นสิ่งที่เราคิดว่าเป็น proxy (nginx) จุดสิ้นสุดของ paypal เพื่อให้ paypal คิดว่าเซิร์ฟเวอร์ nginx (ซึ่งรองรับการอัปเดต) กำลังตีจุดปลายทางนั้นแทนเซิร์ฟเวอร์เก่าของเรา เป็นไปได้ไหม หากไม่มีตัวเลือกใดที่เป็นไปได้ที่จะหลีกเลี่ยงการอัพเกรดนี้?

นี่คือตัวอย่างการกำหนดค่าของพร็อกซี nginx

 เซิร์ฟเวอร์ {
    ฟัง 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded- สำหรับ $ proxy_add_x_forwarded_for;
        proxy_set_header โฮสต์ $ http_host;
    }
}
upgrade  rhel4 
แจ๊กเก็ต
แหล่งที่มา
62
คุณเลื่อนการอัปเกรดเหล่านี้ไปนานเกินไปแล้ว ณ จุดนี้การอัพเกรดเซิร์ฟเวอร์เป็นตัวเลือกเดียวที่คุณควรพิจารณา เพียงแค่มีสิ่งเหล่านั้นในการผลิตทั้งหมดก็เพียงพอที่จะล้มเหลวในการตรวจสอบความปลอดภัยที่เหมาะสม
Michael Hampton
34
"และการอัปเดตเซิร์ฟเวอร์ของเราไม่ใช่ตัวเลือก" - ฉันแน่ใจว่ามันอาจจะยาก แต่จริงๆแล้วมันต้องกลายเป็นตัวเลือก มีจุดหนึ่งในวงจรชีวิตของระบบเมื่อคุณต้องการย้ายไปข้างหน้าและคุณผ่านพ้นจุดนี้ไปได้แล้ว
Rob Moir
19
"การอัปเดตเซิร์ฟเวอร์ของเราไม่ใช่ตัวเลือก" เหตุใดการอัพเดตจึงไม่ใช่ตัวเลือก คุณมีรหัสดั้งเดิมที่ใช้ความแปลกประหลาดของ RHEL4 หรือไม่? ซอฟต์แวร์ของคุณมีปลั๊กอินที่ไม่รองรับ RHEL 6 หรือ 7 อีกต่อไปหรือไม่
Nzall
26
ฉันจะสะท้อนเสียงคอรัสที่นี่ คิดออกว่าทำไมการอัพเกรดไม่ใช่ตัวเลือกแก้ไขมันแล้วอัพเกรด Paypal ไม่ได้ทำสิ่งนี้เพียงเพราะพวกเขารู้สึกเหมือนเป็นจู๋
Shadur
32
ในฐานะที่เป็นคนที่ใส่ใจเรื่องความปลอดภัยและมีความรู้คอมพิวเตอร์ถ้าฉันเป็นลูกค้าของคุณและพบว่าคุณทำในสิ่งที่คุณพยายามจะทำฉันจะหยุดทำงานกับ บริษัท ของคุณทันทีและจะไม่ซื้อสินค้าจาก บริษัท ของคุณอีกเลย
Shaamaan

คำตอบ:

74

นี่เป็นการอัปเกรดน้อยลงและมีโอกาสมากขึ้นในการสร้างและปรับโครงสร้างใหม่ ระบบ RHEL4 เหล่านี้มีการใช้งานมานานเท่าไรแล้ว? 2006? 2007

องค์กรของคุณเพิกเฉยต่อกำหนดการและคำเตือนเกี่ยวกับระยะเวลาการสนับสนุนของRed Hatหรือไม่? นั่นหมายความว่าระบบทั้งหมดเหล่านี้ทำงานไม่ตรงกันตั้งแต่แพ็คเกจล่าสุดออกมาใช่หรือไม่

คุณสามารถให้เหตุผลบางอย่างเกี่ยวกับสาเหตุที่คุณยังอยู่ใน RHEL4 ได้หรือไม่? นี่เป็นจุดสิ้นสุดของชีวิตในปี 2555 ในช่วงเวลานั้นมีโอกาสที่จะสร้างใหม่

สำหรับปัญหานี้โดยเฉพาะฉันคิดว่าวิธีที่ดีที่สุดคือการวัดความพยายามในการสร้างระบบปฏิบัติการปัจจุบันขึ้นใหม่ EL6 หรือ EL7 จะเป็นผู้สมัครที่ดีและจะตกอยู่ภายใต้การสนับสนุนอย่างแข็งขัน

ewwhite
แหล่งที่มา
32
นี้. หากระบบของคุณเก่าจนไม่สามารถอัปเกรดได้พวกเขาจะเก่าไปจนไม่สามารถเชื่อถือได้ว่าจะปลอดภัยอีกต่อไป
Shadur
20

มันยากมาก (และในกรณีนี้ไร้ประโยชน์) ที่เดินไปตามลมดังนั้นทำไมคุณไม่ทำตามมันแทน? ฉันสามารถเข้าใจได้ว่าการอัพเกรดอาจจะเป็นความเจ็บปวดในตูดบางครั้ง แต่มันก็คุ้มค่า

นอกจากนี้การไม่สามารถทำงานกับ2048-bitใบรับรองได้จะทำให้คุณมีปัญหามากขึ้นในอีกไม่กี่ปีข้างหน้า ฉันเดาว่าไม่เพียง แต่ paypal เท่านั้น แต่บริการอื่น ๆ อีกมากมายที่จะลืม1024-bitและไม่สามารถทำตามการอัพเกรดได้จะทำให้คุณคลั่งไคล้ที่จะทำให้สิ่งต่าง ๆ ทำงานได้

sysfiend
แหล่งที่มา
13
Windows และ iOS, chrome, Mozilla ทั้งหมดไม่ยอมรับ certs SHA1 หลังจากวันที่ 1/1/2017 ดังนั้นมันจะเป็นการแก้ไขสั้น ๆ สำหรับ PayPal เท่านั้น สิ่งเดียวที่ฉันสามารถจินตนาการได้ว่ามีค่าใช้จ่ายสูงในการแทนที่คือสิ่งต่าง ๆ เช่น PIN-terminal สำหรับการชำระเงินด้วยบัตรเครดิตหรือมากกว่านั้น
TJJ
5
มันจะยิ่ง "แพง" มากขึ้นเมื่อลูกค้าปล่อยคุณ ...
sysfiend
11

โดยหลักการแล้วฉันไม่เห็นเหตุผลว่าทำไมการใช้พรอกซีไม่ทำงาน ฉันไม่รู้เกี่ยวกับ nginx เพียงพอที่จะทราบว่าการกำหนดค่าเฉพาะนั้นจะใช้งานได้หรือไม่

ตัวเลือกอื่นที่อาจสมควรพิจารณาคือการอัพเกรด ssl / tls ไลบรารีและที่เก็บใบรับรองหลักโดยไม่ต้องอัปเกรดระบบปฏิบัติการโดยรวม เห็นได้ชัดว่าสิ่งนี้ต้องการการทดสอบความเข้ากันได้ / การถดถอยในระดับหนึ่งและอาจเกี่ยวข้องกับการสร้างห้องสมุดที่เป็นปัญหาจากแหล่งที่มา

หากคุณไม่สามารถจัดการใบรับรองที่ทันสมัย ​​(จากรูต> = 2048 บิตและด้วยลายเซ็น sha256) คุณจะเริ่มมีปัญหากับบริการ ssl ใด ๆ ในอนาคตอันใกล้ไม่ใช่แค่เพย์พาล

ปีเตอร์กรีน
แหล่งที่มา
3
RHEL 4 และ RHEL 5 จะไม่รองรับใบรับรอง SHA-2 ที่ทันสมัย
Michael Hampton
9

ในฐานะที่เป็น ewwhite ชี้RHEL4 ได้รับ EOL ตั้งแต่ 2012

ทำไมคุณอัพเกรดไม่ได้? หากปัญหาไม่ได้ออกใบอนุญาตค่าใช้จ่ายมี CentOS หากปัญหาคือการพึ่งพาโค้ดบางประเภทให้อืม ฉันไม่มีคำตอบที่เย้ายวนสำหรับเรื่องนี้เหมือนกับที่ฉันทำเพื่อค่าใช้จ่าย แต่มันจะแย่ลงเมื่อเวลาผ่านไป

ฉันเข้าใจว่านี่เป็นสิ่งที่สืบทอดมาซึ่งคุณจำเป็นต้องติดตามด้วยเหตุผลทางกฎหมาย (และอยู่ห่างไกลจากอินเทอร์เน็ต) แต่นี่เป็นสายธุรกิจที่แท้จริงของคุณที่คุณกำลังพูดถึง คุณไม่ต้องการเป็นสถิติ เพียงเตือนความจำ: Home Depot ใช้จ่าย$ 43,000,000ในการละเมิดข้อมูลของพวกเขา

โปรดพิจารณาอีกครั้งว่า "การอัพเดตเซิร์ฟเวอร์ของเราไม่ใช่ตัวเลือก"

Katherine Villyard
แหล่งที่มา
5
ใบอนุญาต RHEL ไม่ได้ล็อคเวอร์ชัน หากคุณชำระเงินสำหรับ RHEL 4 คุณสามารถอัปเกรดไปจนถึง RHEL 7 (ปัจจุบัน) โดยให้สิทธิ์เดียวกัน
Michael Hampton
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.