Bypass Paypal Upgrade

16

PayPal sta effettuando aggiornamenti ai certificati SSL su tutti gli endpoint Web e API. A causa di problemi di sicurezza relativi ai progressi nella potenza di elaborazione, l'industria sta eliminando gradualmente i certificati SSL a 1024 bit (G2) a favore dei certificati a 2048 bit (G5) e si sta muovendo verso un algoritmo di crittografia dei dati di maggiore forza per garantire la trasmissione dei dati, SHA -2 (256) rispetto al vecchio standard dell'algoritmo SHA-1.

Tuttavia, stiamo ancora utilizzando sistemi non compatibili con gli aggiornamenti e l'aggiornamento dei nostri server non è un'opzione. Quindi, ciò che pensiamo è proxy (nginx) dell'endpoint paypal in modo che paypal pensi che il server nginx (che supporta l'aggiornamento) sta colpendo quell'endpoint anziché i nostri vecchi server. È possibile? in caso contrario, quali sono le opzioni possibili per bypassare questo aggiornamento?

Ecco una configurazione di esempio del proxy nginx

 server {
    ascolta 80;
    nome_server api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-Per $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
}
upgrade  rhel4 
melton
fonte
62
Hai rimandato questi aggiornamenti già troppo a lungo. A questo punto l'aggiornamento dei server è l'unica opzione che dovresti prendere in considerazione. Avere semplicemente queste cose in produzione è sufficiente per fallire un adeguato controllo di sicurezza.
Michael Hampton
34
"e l'aggiornamento dei nostri server non è un'opzione." - Sono sicuro che potrebbe essere difficile, ma deve davvero diventare un'opzione. Arriva un punto nel ciclo di vita di qualsiasi sistema quando è necessario spostarlo in avanti e lo si è superato.
Rob Moir,
19
"l'aggiornamento dei nostri server non è un'opzione". Perché l'aggiornamento non è un'opzione? Hai un codice legacy che utilizza una stranezza di RHEL4? Il tuo software ha un plugin che non è più supportato su RHEL 6 o 7?
Nzall,
26
Ho intenzione di fare eco al coro qui. Capire perché l'aggiornamento non è un'opzione, correzione che , quindi aggiornare. Paypal non lo sta facendo solo perché si sentono cazzi.
Shadur,
32
In quanto persona attenta alla sicurezza e informatica, se fossi il tuo cliente e scoprissi che hai fatto quello che stai tentando di fare, smetterei immediatamente di lavorare con la tua azienda e molto probabilmente non comprerei mai più nulla dalla tua azienda.
Shaamaan,

Risposte:

74

Questo è meno un aggiornamento e più un'opportunità per ricostruire e refactoring. Da quanto tempo sono in produzione questi sistemi RHEL4? Il 2006? 2007?

La tua organizzazione ha ignorato la pianificazione del ciclo di vita di Red Hat e gli avvisi sulla fine dei periodi di supporto? Ciò significa che tutti questi sistemi funzionano senza pari dall'ultima versione del pacchetto?

Puoi dare qualche motivo sul perché sei ancora su RHEL4? È finita davvero nel 2012. In quel periodo di tempo, c'è stata l'opportunità di ricostruire semplicemente.

Per questo particolare problema, penso che l'approccio migliore sia misurare lo sforzo di ricostruire su un sistema operativo più attuale. EL6 o EL7 sarebbero buoni candidati e rientrerebbero nel supporto attivo.

ewwhite
fonte
32
Questo. Se i tuoi sistemi sono così vecchi che non possono essere aggiornati, sono sicuramente così vecchi che non ci si può più fidare di essere più sicuri.
Shadur,
20

È così difficile (e in questo caso inutile) camminare contro il vento, quindi, perché non lo segui? Posso capire che a volte l'aggiornamento può essere un dolore nel culo ma ne vale la pena.

Inoltre, non essere ancora in grado di lavorare con i 2048-bitcertificati ti porterà a molti altri problemi nei prossimi anni. Immagino non solo paypal, ma molti altri servizi dimenticheranno 1024-bite non essere in grado di seguire gli aggiornamenti ti farà impazzire per far funzionare le cose.

sysfiend
fonte
13
Windows e iOS, Chrome, Mozilla, non accettano certificati SHA1 dopo il 1/1/2017. Quindi sarà una soluzione breve solo per PayPal. L'unica cosa che posso immaginare sono costosi da sostituire sono cose come terminali PIN per il pagamento con carta di credito o giù di lì.
TJJ,
5
Sarà ancora più "costoso" quando i clienti ti lasceranno ...
sysfiend,
11

In linea di principio non vedo alcun motivo per cui l'uso di un proxy non funzioni. Non so abbastanza di nginx per sapere se quella particolare configurazione funzionerebbe o meno.

Un'altra opzione che potrebbe essere utile considerare è l'aggiornamento della libreria ssl / tls e dell'archivio certificati radice senza aggiornare il sistema operativo nel suo insieme. Ovviamente ciò richiederebbe un certo livello di test di compatibilità / regressione e probabilmente comporterebbe la costruzione della libreria in questione dalla fonte.

Se non riesci a gestire i certificati moderni (da una radice> = 2048 bit e con firme sha256) inizierai ad avere problemi con praticamente qualsiasi servizio ssl nel prossimo futuro, non solo con paypal.

Peter Green
fonte
3
Né RHEL 4 né RHEL 5 gestiranno i moderni certificati SHA-2.
Michael Hampton
9

Come sottolineato da ewwhite, RHEL4 è EOL dal 2012 .

Perché non riesci ad aggiornare? Se il problema riguarda i costi di licenza, c'è CentOS . Se il problema è una sorta di dipendenza dal codice, um. Non ho una risposta glib per quello che faccio per il costo, ma col tempo peggiorerà.

Capirei se questa fosse una cosa legacy che ti era richiesto di tenere in giro per motivi di conformità legale (e tenuto lontano, molto lontano da Internet), ma questa è la tua vera linea di business di cui stai parlando. Non vuoi diventare una statistica. Solo un promemoria: Home Depot ha speso $ 43.000.000 per la violazione dei dati.

Si prega di riconsiderare la posizione "l'aggiornamento dei nostri server non è un'opzione".

Katherine Villyard
fonte
5
Le licenze RHEL non sono versione bloccata. Se stai pagando per RHEL 4, puoi effettuare l'upgrade fino a RHEL 7 (corrente) con lo stesso diritto.
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.