PayPal обновляет сертификаты SSL на всех конечных точках Интернета и API. Из-за проблем с безопасностью, связанных с достижениями в вычислительной мощности, отрасль постепенно отказывается от 1024-битных сертификатов SSL (G2) в пользу 2048-битных сертификатов (G5) и движется к более надежному алгоритму шифрования данных для защиты передачи данных, SHA. -2 (256) по сравнению со старым стандартом алгоритма SHA-1.
Однако мы все еще используем системы, несовместимые с обновлениями, и обновление наших серверов не является вариантом. Итак, мы думаем, что нужно проксировать (nginx) конечную точку PayPal, чтобы PayPal думал, что сервер nginx (который поддерживает обновление) попадает в эту конечную точку, а не на наши старые серверы. Это возможно? Если нет, то каковы возможные варианты обойти это обновление?
Вот пример конфигурации прокси nginx
server { listen 80; server_name api.sandbox.paypal.com; access_log /var/log/nginx/api.sandbox.paypal.com.access.log; error_log /var/log/nginx/api.sandbox.paypal.com.error.log; location /nvp { proxy_pass https://api.sandbox.paypal.com/nvp; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; } }
В принципе, я не вижу причин, почему использование прокси не работает. Я не знаю достаточно о nginx, чтобы знать, будет ли работать эта конкретная конфигурация.
Другой вариант, который, возможно, стоит рассмотреть, - это обновление библиотеки ssl / tls и хранилища корневых сертификатов без обновления ОС в целом. Очевидно, что это потребует некоторого уровня тестирования совместимости / регрессии и, вероятно, потребует создания соответствующей библиотеки из источника.
Если вы не можете обрабатывать современные сертификаты (из корня> = 2048 бит и с подписями sha256), вы собираетесь в ближайшем будущем начнутся проблемы практически с любой службой SSL, не только с PayPal.
Как указал ewwhite, RHEL4 является EOL с 2012 года. .
Почему вы не можете обновить? Если проблема заключается в стоимости лицензирования, есть CentOS . Если проблема в какой-то зависимости кода, ммм. У меня нет бойкого ответа на этот вопрос, как у меня по поводу стоимости, но со временем ситуация будет только ухудшаться.
Я бы понял, если бы это была какая-то устаревшая вещь, которую вы должны были хранить в целях соблюдения правовых норм (и держать подальше от Интернета), но вы говорите о вашей реальной сфере деятельности. Вы не хотите становиться статистиком. Напоминаем, что Home Depot потратила 43000000 долларов на утечку данных.
Пожалуйста, пересмотрите позицию «обновление наших серверов не является вариантом».
Ez kevésbé frissítés és inkább az újjáépítés és a refrakter lehetősége. Mióta gyártják ezeket az RHEL4 rendszereket? 2006? 2007?
A szervezete figyelmen kívül hagyta a Red Hat életciklus ütemtervet és a támogatási időszak végére vonatkozó figyelmeztetéseket? Ez azt jelenti, hogy ezek a rendszerek páratlanul futnak a legutóbbi csomagkiadás óta?
Tudna valamilyen okot adni arra, hogy miért továbbra is az RHEL4-et használja? Ez valóban az élet végét jelentette 2012-ben. Ebben az időszakban lehetőség nyílt az egyszerű újjáépítésre.
Ebben a kérdésben úgy gondolom, hogy a legjobb megközelítés az újjáépítésre irányuló erőfeszítések felmérése egy aktuálisabb operációs rendszerre. Az EL6 vagy az EL7 jó jelölt lenne, és aktív támogatás alatt állna.
Olyan nehéz (és ebben az esetben haszontalan) a szél ellen járni, miért nem inkább kövesse? Megértem, hogy a frissítés néha fájdalmat okozhat a fenékben, de megéri.
Továbbá, ha még nem tudsz 2048 bites
tanúsítvánnyal dolgozni, az az elkövetkező néhány évben még számos problémával jár. Gondolom, nem csak a paypal, hanem sok más szolgáltatás is megfeledkezik az 1024 bites
-ről, és ha nem tudja követni a frissítéseket, az őrületbe hozza a dolgok működését.