绕过贝宝升级


16

PayPal正在升级所有Web和API端点上的SSL证书。由于对计算能力的提高存在安全方面的担忧,该行业正在逐步淘汰1024位SSL证书(G2),而转向2048位证书(G5),并且正朝着更高强度的数据加密算法发展,以确保数据传输的安全性SHA在旧的SHA-1算法标准上为-2(256)。

但是,我们仍在使用与升级不兼容的系统,并且不能选择更新服务器。因此,我们认为是代理(nginx)贝宝端点,以便贝宝认为(支持更新的)nginx服务器正在命中该端点,而不是我们的旧服务器。这可能吗?如果没有,有哪些可能的选择绕过此升级?

这是Nginx代理的示例配置

 服务器{
    听80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    位置/ nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header主机$ http_host;
    }
} 

62
您推迟这些升级已经太久了。此时,升级服务器是您应该考虑的唯一选择。仅仅将这些东西投入生产就足以使适当的安全审核失败。
迈克尔·汉普顿

34
“并且不能选择更新服务器。” -我敢肯定这可能很难,但是确实需要成为一种选择。在任何系统的生命周期中都有一个要点,那就是您需要将其向前移动,并且已经远远超过了这里。
罗伯·摩尔

19
“更新服务器不是一种选择”。为什么没有更新选项?您是否有使用RHEL4的古怪代码?您的软件是否具有RHEL 6或7不再支持的插件?
Nzall

26
我要在这里回声。弄清楚为什么不选择升级,请修复该问题,然后进行升级。贝宝(Paypal)这样做并不是仅仅因为他们觉得自己像鸡巴。
Shadur

32
作为一个具有安全意识和计算机素养的人,如果我是您的客户,并且发现您做了您想做的事情,我将立即停止与您的公司合作,并且极有可能永远不会再向您的公司购买任何东西。
Shaamaan '16

Answers:


74

这不是升级,而是更多的重建和重构的机会。这些RHEL4系统已投入生产多长时间了?2006年?2007年?

您的组织是否忽略了Red Hat生命周期时间表和有关支持期结束的警告?这是否意味着自上次发布软件包以来,所有这些系统都无法运行?

您能否给出为什么仍然使用RHEL4的原因?那真的在2012年寿终正寝。在那段时间里,有机会进行简单的重建。

对于这个特定问题,我认为最好的方法是评估在更新的OS上进行重建的工作。EL6或EL7将是很好的候选者,并将受到积极支持。


32
这个。如果您的系统太旧而无法升级,那么它们肯定已经太旧了,以致于不再可能被认为具有安全性。
Shadur

20

逆风行走是如此艰难(在这种情况下没有用),那么,为什么不跟随它呢?我可以理解,升级有时可能会让人感到痛苦,但这是值得的。

另外,还不能使用2048-bit证书会在未来几年内导致更多问题。我想不仅是贝宝,而且许多其他服务也会忘记1024-bit,无法跟随升级会导致您为使事情正常而疯狂。


13
Windows和iOS,Chrome,Mozilla在2017年1月1日之后均不接受SHA1证书。因此,这仅是PayPal的短期解决方案。我能想象到的唯一昂贵的更换就是诸如用于信用卡支付的PIN终端之类的东西。
TJJ

5
当客户离开您时,它将更加“昂贵” ...
sysfiend '16

11

原则上,我认为没有任何理由不能使用代理。我对nginx不太了解,无法确定该特定配置是否有效。

另一个值得考虑的选择是升级ssl / tls库和根证书存储,而无需整体升级操作系统。显然,这将需要某种程度的兼容性/回归测试,并且可能涉及从源代码构建有问题的库。

如果您不能处理现代证书(从> = 2048位根开始并且具有sha256签名),那么不久的将来,几乎所有的SSL服务都将出现问题,而不仅仅是Paypal。


3
RHEL 4和RHEL 5都不会处理现代SHA-2证书。
迈克尔·汉普顿

9

正如ewwhite所指出的那样,RHEL4自2012年以来一直处于停产状态

你为什么不能升级? 如果问题是许可费用,请使用CentOS。如果问题是某种代码依赖性,那么嗯。我没有像花钱一样回答这个问题,但是随着时间的推移,情况只会越来越糟。

我想知道这是否是您出于法律合规性原因而必须保留的一些旧东西(并且远离互联网),但这是您正在谈论的实际业务范围。您不想成为统计数据。提醒一下:Home Depot在数据泄露方面花费了4,300万美元

请重新考虑“无法更新服务器”的立场。


5
RHEL许可证没有版本锁定。如果您要为RHEL 4付费,则可以以相同的权利一路升级到RHEL 7(当前)。
迈克尔·汉普顿
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.