Lewati Peningkatan Paypal

16

PayPal melakukan peningkatan ke sertifikat SSL di semua titik akhir web dan API. Karena kekhawatiran keamanan atas kemajuan daya komputasi, industri ini menghapus secara bertahap sertifikat SSL 1024-bit (G2) yang mendukung sertifikat 2048-bit (G5), dan sedang bergerak ke arah algoritma enkripsi data kekuatan yang lebih tinggi untuk mengamankan transmisi data, SHA -2 (256) melebihi standar algoritma SHA-1 yang lebih lama.

Namun, kami masih menggunakan sistem yang tidak kompatibel dengan peningkatan dan memperbarui server kami bukanlah suatu pilihan. Jadi, apa yang kami pikirkan adalah proksi (nginx) titik akhir paypal sehingga paypal berpikir bahwa server nginx (yang mendukung pembaruan) memukul titik akhir itu alih-alih server lama kami. Apakah ini mungkin? jika tidak, apa saja opsi yang memungkinkan untuk mem-bypass upgrade ini?

Berikut adalah contoh konfigurasi proksi nginx

 server {
    dengarkan 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    lokasi / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
} 
melton
sumber
62
Anda telah menunda upgrade ini terlalu lama. Pada titik ini meningkatkan server adalah satu-satunya pilihan yang harus Anda pertimbangkan. Cukup memiliki hal-hal itu dalam produksi sama sekali sudah cukup untuk gagal audit keamanan yang tepat.
Michael Hampton
34
"dan memperbarui server kami bukanlah suatu pilihan." - Saya yakin ini mungkin sulit, tapi itu benar-benar perlu menjadi pilihan. Ada saatnya dalam siklus hidup sistem mana pun ketika Anda perlu memajukannya dan Anda telah melewati itu di sini.
Rob Moir
19
"Memperbarui server kami bukanlah suatu pilihan". Mengapa memperbarui bukan opsi? Apakah Anda memiliki kode lawas yang menggunakan kekhasan RHEL4? Apakah perangkat lunak Anda memiliki plugin yang tidak lagi didukung di RHEL 6 atau 7?
Nzall
26
Saya akan menggemakan refrein di sini. Cari tahu mengapa peningkatan bukanlah pilihan, perbaiki itu , lalu tingkatkan. Paypal tidak melakukan ini hanya karena mereka merasa seperti penis.
Shadur
32
Sebagai orang yang sadar akan keamanan dan melek komputer, jika saya adalah klien Anda dan mengetahui bahwa Anda melakukan apa yang ingin Anda lakukan, saya akan segera berhenti bekerja dengan perusahaan Anda dan kemungkinan besar tidak akan pernah membeli apa pun dari perusahaan Anda lagi.
Shaamaan

Jawaban:

74

Ini kurang dari peningkatan dan lebih banyak kesempatan untuk membangun kembali dan refactor. Berapa lama sistem RHEL4 ini diproduksi? 2006? 2007?

Apakah organisasi Anda mengabaikan jadwal siklus hidup Red Hat dan peringatan tentang akhir periode dukungan? Apakah itu berarti semua sistem ini berjalan tidak tertandingi sejak paket terakhir dirilis?

Bisakah Anda memberi alasan mengapa Anda masih menggunakan RHEL4? Itu benar-benar berakhir pada tahun 2012. Dalam periode waktu itu, ada peluang untuk membangun kembali.

Untuk masalah khusus ini, saya pikir pendekatan terbaik adalah mengukur upaya untuk membangun kembali ke OS yang lebih saat ini. EL6 atau EL7 akan menjadi kandidat yang baik dan akan berada di bawah dukungan aktif.

putih
sumber
32
Ini. Jika sistem Anda sudah sangat tua sehingga tidak dapat ditingkatkan, pasti sudah sangat tua sehingga tidak mungkin lagi dipercaya untuk aman.
Shadur
20

Sangat sulit (dan dalam hal ini tidak berguna) berjalan melawan angin jadi, mengapa Anda tidak mengikutinya saja? Saya bisa mengerti bahwa peningkatan kadang-kadang mungkin menyebalkan, tetapi itu sangat berharga.

Selain itu, belum bisa bekerja dengan 2048-bitsertifikat akan membawa Anda dalam banyak masalah lagi dalam beberapa tahun ke depan. Saya kira tidak hanya paypal, tetapi banyak layanan lain akan melupakan 1024-bitdan tidak dapat mengikuti peningkatan akan membuat Anda menjadi gila untuk membuat hal-hal berfungsi.

sysfiend
sumber
13
Windows dan iOS, chrome, Mozilla, semuanya tidak menerima sertifikat SHA1 setelah 1/1/2017. Jadi itu akan menjadi perbaikan singkat untuk PayPal saja. Satu-satunya hal yang saya bayangkan mahal untuk diganti adalah hal-hal seperti terminal PIN untuk pembayaran kartu kredit atau lebih.
TJJ
5
Akan lebih "mahal" ketika pelanggan meninggalkan Anda ...
sysfiend
11

Pada prinsipnya saya tidak melihat alasan mengapa menggunakan proxy tidak akan berfungsi. Saya tidak cukup tahu tentang nginx untuk mengetahui apakah konfigurasi tertentu akan bekerja atau tidak.

Opsi lain yang mungkin patut dipertimbangkan adalah memutakhirkan pustaka ssl / tls dan penyimpanan sertifikat root tanpa memutakhirkan OS secara keseluruhan. Jelas ini akan memerlukan beberapa tingkat pengujian kompatibilitas / regresi dan kemungkinan akan melibatkan membangun perpustakaan yang dimaksud dari sumber.

Jika Anda tidak dapat menangani sertifikat modern (dari> = 2048 bit root dan dengan tanda tangan sha256), Anda akan mulai mengalami masalah dengan hampir semua layanan ssl dalam waktu dekat, bukan hanya paypal.

Peter Green
sumber
3
Baik RHEL 4 maupun RHEL 5 tidak akan menangani sertifikat SHA-2 modern.
Michael Hampton
9

Seperti ewwhite tunjukkan, RHEL4 telah menjadi EOL sejak 2012 .

Mengapa Anda tidak bisa memutakhirkan? Jika masalahnya adalah biaya lisensi, ada CentOS . Jika masalahnya adalah semacam ketergantungan kode, um. Saya tidak punya jawaban fasih untuk itu seperti saya lakukan untuk biaya, tetapi itu hanya akan menjadi lebih buruk dari waktu ke waktu.

Saya mengerti jika ini adalah warisan yang harus Anda pertahankan karena alasan kepatuhan hukum (dan tetap jauh, jauh dari internet), tetapi ini adalah lini bisnis Anda yang sebenarnya sedang Anda bicarakan. Anda tidak ingin menjadi statistik. Hanya pengingat: Home Depot menghabiskan $ 43.000.000 untuk pelanggaran data mereka.

Harap pertimbangkan kembali sikap "memperbarui server kami bukan opsi".

Katherine Villyard
sumber
5
Lisensi RHEL tidak dikunci versi. Jika Anda membayar untuk RHEL 4, Anda dapat memutakhirkan sepenuhnya ke RHEL 7 (saat ini) dengan hak yang sama.
Michael Hampton