绕过贝宝升级

PayPal正在升级所有Web和API端点上的SSL证书。由于对计算能力的提高存在安全方面的担忧，该行业正在逐步淘汰1024位SSL证书（G2），而转向2048位证书（G5），并且正朝着更高强度的数据加密算法发展，以确保数据传输的安全性SHA在旧的SHA-1算法标准上为-2（256）。

但是，我们仍在使用与升级不兼容的系统，并且不能选择更新服务器。因此，我们认为是代理（nginx）贝宝端点，以便贝宝认为（支持更新的）nginx服务器正在命中该端点，而不是我们的旧服务器。这可能吗？如果没有，有哪些可能的选择绕过此升级？

这是Nginx代理的示例配置

 服务器{
    听80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    位置/ nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header主机$ http_host;
    }
} 

这不是升级，而是更多的重建和重构的机会。这些RHEL4系统已投入生产多长时间了？2006年？2007年？

您的组织是否忽略了Red Hat生命周期时间表和有关支持期结束的警告？这是否意味着自上次发布软件包以来，所有这些系统都无法运行？

您能否给出为什么仍然使用RHEL4的原因？那真的在2012年寿终正寝。在那段时间里，有机会进行简单的重建。

对于这个特定问题，我认为最好的方法是评估在更新的OS上进行重建的工作。EL6或EL7将是很好的候选者，并将受到积极支持。

逆风行走是如此艰难（在这种情况下没有用），那么，为什么不跟随它呢？我可以理解，升级有时可能会让人感到痛苦，但这是值得的。

另外，还不能使用2048-bit证书会在未来几年内导致更多问题。我想不仅是贝宝，而且许多其他服务也会忘记1024-bit，无法跟随升级会导致您为使事情正常而疯狂。

原则上，我认为没有任何理由不能使用代理。我对nginx不太了解，无法确定该特定配置是否有效。

另一个值得考虑的选择是升级ssl / tls库和根证书存储，而无需整体升级操作系统。显然，这将需要某种程度的兼容性/回归测试，并且可能涉及从源代码构建有问题的库。

如果您不能处理现代证书（从> = 2048位根开始并且具有sha256签名），那么不久的将来，几乎所有的SSL服务都将出现问题，而不仅仅是Paypal。

正如ewwhite所指出的那样，RHEL4自2012年以来一直处于停产状态。

你为什么不能升级？ 如果问题是许可费用，请使用CentOS。如果问题是某种代码依赖性，那么嗯。我没有像花钱一样回答这个问题，但是随着时间的推移，情况只会越来越糟。

我想知道这是否是您出于法律合规性原因而必须保留的一些旧东西（并且远离互联网），但这是您正在谈论的实际业务范围。您不想成为统计数据。提醒一下：Home Depot在数据泄露方面花费了4,300万美元。

请重新考虑“无法更新服务器”的立场。