Обойти обновление Paypal

PayPal обновляет SSL-сертификаты на всех веб- и API-адресах. Из-за соображений безопасности, связанных с ростом вычислительной мощности, индустрия отказывается от 1024-битных SSL-сертификатов (G2) в пользу 2048-битных сертификатов (G5) и переходит к более сильному алгоритму шифрования данных для защиты передачи данных, SHA-2 (256), вместо более старого алгоритма SHA-1.

Тем не менее, мы все еще используем системы, которые не совместимы с обновлениями, и обновление наших серверов не является вариантом. Поэтому мы считаем, что можно использовать прокси (nginx) для конечной точки PayPal, чтобы PayPal думал, что сервер nginx (который поддерживает обновление) обращается к этой конечной точке вместо наших старых серверов. Это возможно? Если нет, то какие возможные варианты существуют, чтобы обойти это обновление?

Вот пример конфигурации прокси nginx

 server {
    listen 80;
    server_name api.sandbox.paypal.com;

    access_log  /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log   /var/log/nginx/api.sandbox.paypal.com.error.log;

    location /nvp {
        proxy_pass  https://api.sandbox.paypal.com/nvp;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        Host $http_host;
    }
} 

Это не столько обновление, сколько возможность перестроить и модернизировать. Сколько времени эти системы RHEL4 находились в эксплуатации? 2006? 2007?

Игнорировала ли ваша организация график жизненного цикла Red Hat и предупреждения о сроках окончания поддержки? Значит ли это, что все эти системы работают без обновлений с момента последних релизов пакетов?

Можете объяснить, почему вы все еще используете RHEL4? Он закончился в 2012 году. За это время была возможность просто перестроить.

Что касается этой конкретной проблемы, я считаю, что лучший подход – это оценить усилия по переходу на более современную ОС. EL6 или EL7 будут хорошими кандидатами и будут находиться на активной поддержке.

Так трудно (и в этом случае бесполезно) идти против ветра, так почему бы вместо этого не следовать за ним? Я понимаю, что обновление может быть иногда утомительным, но это того стоит.

Кроме того, невозможность работать с 2048-битными сертификатами приведет к большему количеству проблем в ближайшие несколько лет. Я думаю, что не только PayPal, но и многие другие сервисы забудут о 1024-битах, и невозможность следовать обновлениям сведет вас с ума, пытаясь заставить все это работать.

В принципе, я не вижу причин, по которым использование прокси не сработало бы. Я не знаю достаточно о nginx, чтобы понять, сработает ли эта конфигурация или нет.

Другой вариант, который стоит рассмотреть, – это обновление библиотеки ssl/tls и хранилища корневых сертификатов без обновления ОС в целом. Очевидно, это потребует некоторого уровня тестирования совместимости/регрессии и, вероятно, будет связано со сборкой необходимой библиотеки из исходного кода.

Если вы не можете обрабатывать современные сертификаты (от корня с >= 2048 битами и с подписями sha256), у вас начнутся проблемы практически с любым SSL-сервисом в ближайшем будущем, не только с PayPal.

Как указал ewwhite, RHEL4 является устаревшей версией с 2012 года.

Почему вы не можете обновиться? Если проблема заключается в стоимости лицензирования, есть CentOS. Если проблема в зависимостях кода, угу. У меня нет такого же простого ответа на это, как на вопрос стоимости, но с течением времени это только усугубится.

Я бы понял, если бы это была какая-то устаревшая система, которую вам нужно было оставить из соображений юридической ответственности (и держать далеко, далеко от интернета), но это ваша фактическая линия бизнеса, о которой идет речь. Вы не хотите стать статистикой. Просто напомню: Home Depot потратили $43,000,000 на утечку данных.

Пожалуйста, пересмотрите позицию “обновление наших серверов не является опцией”.