Evitar la actualización de Paypal

16

PayPal está realizando actualizaciones a los certificados SSL en todos los puntos finales web y API. Debido a las preocupaciones de seguridad sobre los avances en potencia informática, la industria está eliminando gradualmente los certificados SSL de 1024 bits (G2) a favor de los certificados de 2048 bits (G5), y se está moviendo hacia un algoritmo de cifrado de datos de mayor potencia para asegurar la transmisión de datos, SHA -2 (256) sobre el antiguo algoritmo SHA-1 estándar.

Sin embargo, todavía estamos utilizando sistemas que no son compatibles con las actualizaciones y la actualización de nuestros servidores no es una opción. Entonces, lo que pensamos es proxy (nginx) el punto final de paypal para que paypal piense que el servidor nginx (que admite la actualización) está llegando a ese punto final en lugar de nuestros servidores antiguos. es posible? Si no, ¿cuáles son las posibles opciones para evitar esta actualización?

Aquí hay una configuración de muestra del proxy nginx

 servidor {
    escucha 80;
    nombre_servidor api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    ubicación / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Fordered-For $ proxy_add_x_forwards_for;
        proxy_set_header Host $ http_host;
    }
} 
melton
fuente
62
Ya has pospuesto estas actualizaciones demasiado tiempo. En este punto, la actualización de los servidores es la única opción que debe considerar. Simplemente tener esas cosas en producción es suficiente para fallar una auditoría de seguridad adecuada.
Michael Hampton
34
"y actualizar nuestros servidores no es una opción". - Estoy seguro de que puede ser difícil, pero realmente debe convertirse en una opción. Llega un punto en el ciclo de vida de cualquier sistema cuando necesita avanzar y ha superado eso aquí.
Rob Moir
19
"actualizar nuestros servidores no es una opción". ¿Por qué la actualización no es una opción? ¿Tiene código heredado que utiliza un capricho de RHEL4? ¿Su software tiene un complemento que ya no es compatible con RHEL 6 o 7?
Nzall
26
Voy a hacer eco del coro aquí. Entender por qué la actualización no es una opción, solución que , a continuación, actualizar. Paypal no está haciendo esto solo porque se sienten como pollas.
Shadur
32
Como una persona consciente de la seguridad y con conocimientos de informática, si fuera su cliente y descubriera que hizo lo que intenta hacer, dejaría de trabajar con su empresa de inmediato y es muy probable que nunca vuelva a comprar nada de su empresa.
Shaamaan

Respuestas:

74

Esto es menos una actualización y más una oportunidad para reconstruir y refactorizar. ¿Cuánto tiempo llevan en producción estos sistemas RHEL4? 2006? 2007?

¿Su organización ignoró la programación del ciclo de vida de Red Hat y las advertencias sobre el final de los períodos de soporte? ¿Significa eso que todos estos sistemas se ejecutan sin igual desde el último lanzamiento del paquete?

¿Puede dar alguna razón sobre por qué todavía está en RHEL4? Eso realmente terminó al final de la vida en 2012. En ese período de tiempo, ha habido la oportunidad de simplemente reconstruir.

Para este problema en particular, creo que el mejor enfoque es medir el esfuerzo para reconstruir en un sistema operativo más actual. EL6 o EL7 serían buenos candidatos y estarían bajo un apoyo activo.

ewwhite
fuente
32
Esta. Si sus sistemas son tan antiguos que no se pueden actualizar, definitivamente son tan antiguos que ya no se puede confiar en que sean seguros.
Shadur
20

Es tan difícil (y en este caso inútil) caminar contra el viento, ¿por qué no lo sigues? Puedo entender que la actualización puede ser una molestia a veces, pero vale la pena.

Además, no poder trabajar con 2048-bitcertificados todavía lo llevará a muchos más problemas en los próximos años. Supongo que no solo PayPal, sino que muchos otros servicios se olvidarán 1024-bity el no poder seguir las actualizaciones hará que te vuelvas loco para que las cosas funcionen.

sysfiend
fuente
13
Windows e iOS, Chrome, Mozilla, no aceptan certificados SHA1 después del 1/1/2017. Por lo tanto, será una solución breve solo para PayPal. Lo único que podría imaginar que son caros de reemplazar son cosas como terminales PIN para el pago con tarjeta de crédito o algo así.
TJJ
55
Será aún más "costoso" cuando los clientes lo dejen ...
sysfiend
11

En principio, no veo ninguna razón por la que usar un proxy no funcione. No sé lo suficiente sobre nginx para saber si esa configuración particular funcionaría o no.

Otra opción que vale la pena considerar es actualizar la biblioteca ssl / tls y el almacén de certificados raíz sin actualizar el sistema operativo en su conjunto. Obviamente, esto requeriría cierto nivel de pruebas de compatibilidad / regresión y probablemente implicaría construir la biblioteca en cuestión desde la fuente.

Si no puede manejar certificados modernos (desde una raíz de> = 2048 bits y con firmas sha256) comenzará a tener problemas con casi cualquier servicio SSL en el futuro cercano, no solo con PayPal.

Peter Green
fuente
3
Ni RHEL 4 ni RHEL 5 manejarán los certificados SHA-2 modernos.
Michael Hampton
9

Como señaló ewwhite, RHEL4 ha sido EOL desde 2012 .

¿Por qué no puedes actualizar? Si el problema es el costo de la licencia, hay CentOS . Si el problema es algún tipo de dependencia de código, um. No tengo una respuesta simplista para eso como lo hago por el costo, pero solo empeorará con el tiempo.

Entiendo que si se trata de algo heredado que se le exigió que mantuviera por razones de cumplimiento legal (y que se mantuviera lejos, muy lejos de Internet), pero esta es su línea de negocios real de la que está hablando. No quieres convertirte en una estadística. Solo un recordatorio: Home Depot gastó $ 43,000,000 en su violación de datos.

Reconsidere la postura "actualizar nuestros servidores no es una opción".

Katherine Villyard
fuente
55
Las licencias RHEL no tienen versión bloqueada. Si está pagando por RHEL 4, puede actualizar a RHEL 7 (actual) con el mismo derecho.
Michael Hampton