Paypalアップグレードのバイパス

16

PayPalは、すべてのWebおよびAPIエンドポイントでSSL証明書をアップグレードしています。コンピューティングパワーの向上に対するセキュリティ上の懸念により、業界は2048ビットSSL証明書（G2）を段階的に廃止し、2048ビット証明書（G5）を採用し、データ送信、SHAを保護するためのより強力なデータ暗号化アルゴリズムに移行しています-2（256）は古いSHA-1アルゴリズム標準を超えています。

ただし、アップグレードと互換性のないシステムを使用しているため、サーバーを更新することはできません。したがって、paypalが古いサーバーではなくnginxサーバー（更新をサポートする）がそのエンドポイントにヒットしていると考えるように、paypalエンドポイントをプロキシ（nginx）することを考えています。これは可能ですか？そうでない場合、このアップグレードをバイパスする可能なオプションは何ですか？

nginxプロキシのサンプル設定は次のとおりです

 サーバー{
    80を聞きます。
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    場所/ nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header Host $ http_host;
    }
}

upgrade rhel4

— メルトン
ソース

62

あなたはこれらのアップグレードをすでに延期しすぎています。この時点では、サーバーのアップグレードが唯一の検討すべきオプションです。適切なセキュリティ監査に失敗するには、単にそれらを実稼働環境に置くだけで十分です。

— マイケルハンプトン

34

「サーバーの更新はオプションではありません。」-難しいかもしれませんが、本当に選択肢になる必要があります。システムのライフサイクルには、システムを前進させる必要があり、それを十分に超えた時点があります。

— ロブモワー

19

「サーバーの更新はオプションではありません」。更新がオプションではないのはなぜですか？RHEL4の癖を使用するレガシーコードはありますか？ご使用のソフトウェアには、RHEL 6または7でサポートされなくなったプラグインがありますか？

— -Nzall

26

ここでコーラスをエコーします。アップグレードがオプションではない理由を理解し、それを修正してからアップグレードしてください。Paypalは、彼らがペニスのように感じているという理由だけでこれを行っていません。

— シャドゥール

32

セキュリティを意識し、コンピューターに精通している人として、私があなたのクライアントであり、あなたがしようとしていることをやったことがわかった場合、私はすぐにあなたの会社との仕事をやめ、あなたの会社から何かを購入することはほとんどありません。

— -Shaamaan

74

これは、アップグレードではなく、再構築およびリファクタリングの機会です。これらのRHEL4システムはどれくらいの期間稼働していましたか？2006年？2007年？

組織は、サポート期間の終了に関するRed Hatライフサイクルスケジュールと警告を無視しましたか？つまり、これらのシステムはすべて、前回のパッケージリリース以降、比類のない状態で実行されていますか？

まだRHEL4を使用している理由について、何らかの理由を説明できますか？それは2012年に本当に終わりました。その期間には、単に再構築する機会がありました。

この特定の問題については、最善のアプローチは、より最新のOSに再構築する努力を評価することだと思います。EL6またはEL7は良い候補であり、積極的なサポートに該当します。

— ewwhite
ソース

32

この。システムが古すぎてアップグレードできない場合、システムは間違いなく古すぎて、もはや安全であると信頼できない可能性があります。

— シャドゥール

20

風に逆らって歩くのはとても難しい（そしてこの場合は役に立たない）ので、代わりにあなたはそれに従わないのですか？アップグレードは時々お尻を痛めるかもしれませんが、それだけの価値があることは理解できます。

また、2048-bit証明書をまだ使用できないと、今後数年間でさらに多くの問題が発生します。ペイパルだけでなく、他の多くのサービスも忘れてしまい1024-bit、アップグレードに追随できないと、物事がうまくいかないことに夢中になります。

— sysfiend
ソース

13

2017年1月1日以降、WindowsとiOS、クロム、MozillaはすべてSHA1証明書を受け入れません。したがって、PayPalのみの短い修正になります。交換するのに費用がかかると想像できるのは、クレジットカード決済用のPIN端末などです。

— TJJ

5

顧客があなたを離れると、さらに「高価」になります

— ...-sysfiend

11

原則として、プロキシを使用しても機能しない理由はありません。特定の構成が機能するかどうかを知るには、nginxについて十分に知りません。

検討する価値がある別のオプションは、OS全体をアップグレードせずにssl / tlsライブラリとルート証明書ストアをアップグレードすることです。明らかに、これにはある程度の互換性/回帰テストが必要であり、おそらくソースから問題のライブラリを構築する必要があります。

最新の証明書（2048ビット以上のルートおよびsha256署名）を処理できない場合は、paypalだけでなく、近い将来、ほとんどすべてのsslサービスで問題が発生し始めます。

— ピーター・グリーン
ソース

3

RHEL 4もRHEL 5も最新のSHA-2証明書を処理しません。

— マイケルハンプトン

9

ewwhiteが指摘したように、RHEL4は2012年からEOLになっています。

なぜアップグレードできないのですか？ ~~問題がライセンス費用である場合、CentOSがあり~~ます。問題が何らかのコード依存関係である場合、ええと。私はコストのようにそれに対するglibの答えを持っていませんが、それは時間とともに悪化するだけです。

これが、法令順守の理由で保持しなければならない（そしてインターネットから遠く離れた場所に保管する必要がある）レガシーなものであるかどうかは理解できますが、これはあなたが話している実際のビジネスです。あなたは統計になりたくありません。念のために言っておくと、Home Depotはデータ侵害に4300万ドルを費やしました。

「サーバーの更新はオプションではありません」というスタンスを再考してください。

— キャサリン・ビリヤード
ソース

5

RHELライセンスはバージョンがロックされていません。RHEL 4の料金を支払う場合は、同じ資格でRHEL 7（現在）にアップグレードできます。

— マイケルハンプトン