Paypal-Upgrade umgehen

16

PayPal aktualisiert die SSL-Zertifikate auf allen Web- und API-Endpunkten. Aufgrund von Sicherheitsbedenken in Bezug auf Fortschritte bei der Rechenleistung wird die Verwendung von 1024-Bit-SSL-Zertifikaten (G2) anstelle von 2048-Bit-Zertifikaten (G5) eingestellt und ein stärkerer Datenverschlüsselungsalgorithmus zur Sicherung der Datenübertragung (SHA) eingeführt -2 (256) gegenüber dem älteren SHA-1-Algorithmus-Standard.

Wir verwenden jedoch weiterhin Systeme, die mit den Upgrades nicht kompatibel sind, und die Aktualisierung unserer Server ist keine Option. Wir glauben also, dass der Paypal-Endpunkt per Proxy (nginx) übertragen wird, so dass Paypal der Meinung ist, dass der Nginx-Server (der das Update unterstützt) diesen Endpunkt anstelle unserer alten Server erreicht. Ist das möglich? Wenn nicht, welche Möglichkeiten gibt es, um dieses Upgrade zu umgehen?

Hier ist eine Beispielkonfiguration des Nginx-Proxys

 Server {
    höre 80;
    Servername api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    location / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 
Melton
quelle
62
Sie haben diese Upgrades schon viel zu lange aufgeschoben. Zu diesem Zeitpunkt ist ein Upgrade der Server die einzige Option, die Sie in Betracht ziehen sollten. Es reicht aus, diese Dinge überhaupt in der Produktion zu haben, um eine ordnungsgemäße Sicherheitsüberprüfung nicht zu bestehen.
Michael Hampton
34
"und die Aktualisierung unserer Server ist keine Option." - Ich bin sicher , könnte es schwierig sein, aber es muss wirklich wird eine Option. Es kommt zu einem Zeitpunkt im Lebenszyklus eines Systems, an dem Sie es vorwärts bewegen müssen, und Sie haben dies hier weit hinter sich gelassen.
Rob Moir
19
msgstr "Aktualisierung unserer Server ist keine Option". Warum ist ein Update keine Option? Haben Sie Legacy-Code, der eine Eigenart von RHEL4 verwendet? Verfügt Ihre Software über ein Plugin, das von RHEL 6 oder 7 nicht mehr unterstützt wird?
Nzall
26
Ich werde den Refrain hier wiederholen. Finden Sie heraus, warum ein Upgrade nicht in Frage kommt. Beheben Sie das Problem und führen Sie dann ein Upgrade durch. Paypal tut dies nicht nur, weil sie sich wie Schwänze fühlen.
Shadur
32
Wenn ich als sicherheitsbewusster und computerkennender Mensch Ihr Kunde wäre und herausfinde, dass Sie das getan haben, was Sie versuchen, würde ich sofort aufhören, mit Ihrem Unternehmen zu arbeiten, und höchstwahrscheinlich nie wieder etwas von Ihrem Unternehmen kaufen.
Shaamaan

Antworten:

74

Dies ist weniger ein Upgrade als vielmehr eine Gelegenheit zum Neuaufbau und zur Umgestaltung. Wie lange sind diese RHEL4-Systeme in Produktion? 2006? 2007?

Hat Ihre Organisation den Red Hat-Lebenszyklusplan und Warnungen zum Ende der Support-Zeiträume ignoriert ? Bedeutet das, dass alle diese Systeme seit den letzten Paketversionen unübertroffen laufen?

Kannst du einen Grund nennen, warum du immer noch auf RHEL4 bist? Das hat 2012 wirklich ausgedient. In dieser Zeit gab es die Möglichkeit, einfach wieder aufzubauen.

Ich denke, der beste Ansatz für dieses spezielle Problem ist es, die Anstrengungen zu messen, die unternommen werden müssen, um auf ein aktuelleres Betriebssystem umzustellen. EL6 oder EL7 wären gute Kandidaten und würden aktiv unterstützt.

ewwhite
quelle
32
Dies. Wenn Ihre Systeme so alt sind, dass sie nicht mehr aktualisiert werden können, sind sie definitiv so alt, dass man ihnen nicht mehr trauen kann, um sicher zu sein.
Shadur
20

Es ist so schwer (und in diesem Fall nutzlos), gegen den Wind zu laufen. Warum folgen Sie ihm nicht stattdessen? Ich kann verstehen, dass Upgrades manchmal nerven, aber es lohnt sich.

Wenn Sie noch nicht mit 2048-bitZertifikaten arbeiten können, treten in den nächsten Jahren noch viele weitere Probleme auf. Ich denke, nicht nur Paypal, sondern viele andere Dienste werden es vergessen, 1024-bitund wenn Sie den Upgrades nicht folgen können, werden Sie verrückt, Dinge zum Laufen zu bringen.

Sysfiend
quelle
13
Windows und iOS, Chrome, Mozilla, alle akzeptieren nach dem 1.1.2017 keine SHA1-Zertifikate mehr. Es wird also nur eine kurze Lösung für PayPal geben. Das einzige, was ich mir teuer vorstellen kann, sind Dinge wie PIN-Terminals für die Kreditkartenzahlung oder so.
TJJ
5
Es wird noch "teurer", wenn Kunden Sie verlassen ...
Sysfiend
11

Im Prinzip sehe ich keinen Grund, warum ein Proxy nicht funktionieren würde. Ich weiß nicht genug über Nginx, um zu wissen, ob diese bestimmte Konfiguration funktionieren würde oder nicht.

Eine weitere in Betracht zu ziehende Option ist das Aktualisieren der SSL / TLS-Bibliothek und des Stammzertifikatsspeichers, ohne das Betriebssystem als Ganzes zu aktualisieren. Offensichtlich würde dies ein gewisses Maß an Kompatibilitäts- / Regressionstests erfordern und wahrscheinlich die Erstellung der fraglichen Bibliothek aus dem Quellcode beinhalten.

Wenn Sie mit modernen Zertifikaten nicht umgehen können (von einem> = 2048-Bit-Stamm und mit sha256-Signaturen), werden Sie in naher Zukunft Probleme mit so ziemlich jedem SSL-Dienst haben, nicht nur mit Paypal.

Peter Green
quelle
3
Weder RHEL 4 noch RHEL 5 können mit modernen SHA-2-Zertifikaten umgehen.
Michael Hampton
9

Wie ewwhite betonte, ist RHEL4 seit 2012 EOL .

Warum können Sie kein Upgrade durchführen? Wenn das Problem Lizenzkosten sind, gibt es CentOS . Wenn es sich um eine Art Codeabhängigkeit handelt, ähm. Ich habe keine gute Antwort darauf, wie ich es für die Kosten tue, aber es wird mit der Zeit nur schlimmer werden.

Ich würde verstehen, dass dies eine Legacy-Angelegenheit war, die Sie aus Gründen der Einhaltung gesetzlicher Bestimmungen aufbewahren mussten (und die weit, weit vom Internet entfernt war), aber dies ist Ihr eigentlicher Geschäftszweig, über den Sie sprechen. Du willst keine Statistik werden. Nur zur Erinnerung: Home Depot hat 43.000.000 US-Dollar für den Datenverstoß ausgegeben .

Bitte überdenken Sie die Einstellung "Aktualisieren unserer Server ist keine Option".

Katherine Villyard
quelle
5
RHEL-Lizenzen sind nicht versionsgesperrt. Wenn Sie für RHEL 4 bezahlen, können Sie mit derselben Berechtigung auf RHEL 7 (aktuell) upgraden.
Michael Hampton