Ignorar a atualização do Paypal

16

O PayPal está atualizando os certificados SSL em todos os pontos de extremidade da Web e da API. Devido a preocupações de segurança com relação aos avanços no poder de computação, o setor está eliminando os certificados SSL de 1024 bits (G2) em favor dos certificados de 2048 bits (G5) e está adotando um algoritmo de criptografia de dados de maior resistência para garantir a transmissão de dados, SHA -2 (256) sobre o padrão antigo do algoritmo SHA-1.

No entanto, ainda estamos usando sistemas que não são compatíveis com as atualizações e atualizar nossos servidores não é uma opção. Portanto, o que pensamos é fazer proxy (nginx) do terminal paypal para que o paypal pense que o servidor nginx (que suporta a atualização) está atingindo esse terminal em vez de nossos servidores antigos. Isso é possível? Caso contrário, quais são as opções possíveis para ignorar esta atualização?

Aqui está um exemplo de configuração do proxy nginx

 servidor {
    ouça 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 
Melton
fonte
62
Você já adiou essas atualizações por muito tempo. Nesse ponto, atualizar os servidores é a única opção que você deve considerar. Simplesmente ter essas coisas em produção é suficiente para falhar em uma auditoria de segurança adequada.
Michael Hampton
34
"e atualizar nossos servidores não é uma opção." - Tenho certeza de que pode ser difícil, mas realmente precisa se tornar uma opção. Chega um momento no ciclo de vida de qualquer sistema em que você precisa movê-lo para frente e já passou por isso aqui.
precisa
19
"atualizar nossos servidores não é uma opção". Por que a atualização não é uma opção? Você tem código legado que usa uma peculiaridade do RHEL4? Seu software possui um plug-in que não é mais suportado no RHEL 6 ou 7?
Nzall #
26
Eu vou ecoar o refrão aqui. Descubra por que a atualização não é uma opção, corrija- a e faça a atualização. O Paypal não está fazendo isso apenas porque está se sentindo um idiota.
Shadur
32
Como uma pessoa preocupada com a segurança e com conhecimentos de informática, se eu fosse seu cliente e descobrisse que você fez o que está tentando fazer, pararia imediatamente de trabalhar com sua empresa e provavelmente nunca mais compraria nada da sua empresa.
Shaamaan

Respostas:

74

Isso é menos uma atualização e mais uma oportunidade de reconstruir e refatorar. Há quanto tempo esses sistemas RHEL4 estão em produção? 2006? 2007?

Sua organização ignorou a agenda do ciclo de vida da Red Hat e os avisos sobre o final dos períodos de suporte? Isso significa que todos esses sistemas estão funcionando sem igual desde o lançamento do último pacote?

Você pode dar algum motivo para continuar no RHEL4? Isso realmente acabou no fim da vida em 2012. Nesse período, houve uma oportunidade de simplesmente reconstruir.

Para esse problema em particular, acho que a melhor abordagem é avaliar o esforço de reconstrução em um sistema operacional mais atual. EL6 ou EL7 seriam bons candidatos e cairiam sob apoio ativo.

ewwhite
fonte
32
Este. Se seus sistemas são tão antigos que não podem ser atualizados, eles são definitivamente tão antigos que é impossível confiar mais na segurança.
Shadur
20

É tão difícil (e neste caso inútil) andar contra o vento, por que você não o segue? Eu posso entender que atualizar pode ser um pé no saco às vezes, mas vale a pena.

Além disso, a impossibilidade de trabalhar com 2048-bitcertificados ainda o levará a muitos outros problemas nos próximos anos. Eu acho que não apenas o paypal, mas muitos outros serviços esquecerão 1024-bite não poder acompanhar as atualizações levará você a ficar louco para fazer as coisas funcionarem.

sysfiend
fonte
13
Windows e iOS, chrome, Mozilla, todos não estão aceitando certificados SHA1 após 1/1/2017. Portanto, será uma correção curta apenas para o PayPal. A única coisa que eu poderia imaginar que seja caro substituir são coisas como terminais PIN para pagamento com cartão de crédito ou algo assim.
TJJ 28/04
5
Será ainda mais "caro" quando os clientes deixá-lo ...
sysfiend
11

Em princípio, não vejo razão para o uso de um proxy não funcionar. Não sei o suficiente sobre o nginx para saber se essa configuração específica funcionaria ou não.

Outra opção que pode ser considerada é atualizar a biblioteca ssl / tls e o armazenamento de certificados raiz sem atualizar o sistema operacional como um todo. Obviamente, isso exigiria algum nível de compatibilidade / teste de regressão e provavelmente envolveria a construção da biblioteca em questão a partir da fonte.

Se você não conseguir lidar com certificados modernos (a partir de uma raiz> = 2048 bits e com assinaturas sha256), começará a ter problemas com praticamente qualquer serviço SSL no futuro próximo, não apenas com o paypal.

Peter Green
fonte
3
Nem o RHEL 4 nem o RHEL 5 processam certificados SHA-2 modernos.
Michael Hampton
9

Como ewwhite apontou, o RHEL4 é EOL desde 2012 .

Por que você não pode atualizar? Se o problema é o custo de licenciamento, existe o CentOS . Se o problema for algum tipo de dependência de código, hum. Não tenho uma resposta simplista para isso, como faço para o custo, mas só vai piorar com o tempo.

Eu entenderia se isso era algo legado que você precisava manter por motivos de conformidade legal (e mantido longe, muito longe da Internet), mas essa é sua linha de negócios que você está falando. Você não quer se tornar uma estatística. Apenas um lembrete: a Home Depot gastou US $ 43.000.000 em sua violação de dados.

Por favor, reconsidere a posição "atualizar nossos servidores não é uma opção".

Katherine Villyard
fonte
5
As licenças do RHEL não têm versão bloqueada. Se você estiver pagando pelo RHEL 4, poderá fazer o upgrade para o RHEL 7 (atual) com o mesmo direito.
Michael Hampton