Paypal Yükseltmesini Atla


16

PayPal, tüm web ve API uç noktalarında SSL sertifikalarında yükseltme yapıyor. Bilgi işlem gücündeki ilerlemeler konusundaki güvenlik endişeleri nedeniyle, endüstri 2048 bit sertifikalar (G5) lehine 1024 bit SSL sertifikalarını (G2) aşamalı olarak kaldırıyor ve veri iletimini, SHA güvenliğini sağlamak için daha güçlü bir veri şifreleme algoritmasına doğru ilerliyor Eski SHA-1 algoritma standardına göre -2 (256).

Ancak, yükseltmelerle uyumlu olmayan sistemleri kullanıyoruz ve sunucularımızı güncellemek bir seçenek değil. Bu yüzden, paypal nginx sunucusunun (güncellemeyi destekleyen) eski sunucularımız yerine o uç noktaya vurduğunu düşünmesi için paypal uç noktasını proxy (nginx) olarak düşünmektir. Mümkün mü? değilse, bu yükseltmeyi atlamak için olası seçenekler nelerdir?

İşte nginx proxy'sinin örnek bir yapılandırması

 sunucu {
    dinle 80;
    sunucu_adı api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    yer / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Gerçek-IP $ remote_addr;
        proxy_set_header X-Yönlendirildi-$ için proxy_add_x_forwarded_for;
        proxy_set_header Ana Bilgisayar $ http_host;
    }
} 

62
Bu yükseltmeleri çok uzun süredir ertelediniz. Bu noktada sunucuları yükseltmek düşünmeniz gereken tek seçenektir. Bu tür şeylerin üretimde olması, uygun bir güvenlik denetiminde başarısız olmak için yeterlidir.
Michael Hampton

34
"ve sunucularımızı güncellemek bir seçenek değil." - Bunun zor olabilir eminim, ama bu gerçekten ihtiyacı haline bir seçenek. Herhangi bir sistemin yaşam döngüsünde, ileriye doğru hareket ettirmeniz gerektiğinde bir nokta gelir ve burada bunu geçtiniz.
Rob Moir

19
msgstr "sunucularımızı güncellemek bir seçenek değil". Güncelleme neden bir seçenek değil? RHEL4 garipliği kullanan eski kodunuz var mı? Yazılımınızın artık RHEL 6 veya 7'de desteklenmeyen bir eklentisi var mı?
Nzall

26
Burada koroyu yankılayacağım. Yükseltme bir seçenek, bir düzeltme değil neden Figür ardından yükseltin. Paypal bunu sadece dicks gibi hissettikleri için yapmıyor.
Shadur

32
Güvenlik bilincine sahip ve bilgisayar okuryazar bir kişi olarak, eğer müşteriniz olsaydım ve yapmaya çalıştığınız şeyi yaptıysanız, şirketinizle çalışmayı derhal bırakırdım ve büyük olasılıkla şirketinizden bir daha asla bir şey satın almazdım.
Shaamaan

Yanıtlar:


74

Bu, daha az yükseltme ve yeniden oluşturma ve yeniden düzenleme için daha fazla fırsat. Bu RHEL4 sistemleri ne kadar süredir üretilmektedir? 2006? 2007?

Kuruluşunuz Red Hat yaşam döngüsü programını ve destek sürelerinin sona ermesiyle ilgili uyarıları göz ardı etti mi? Bu, son paketin yayınlanmasından bu yana tüm bu sistemlerin benzersiz çalıştığı anlamına mı geliyor?

Neden hala RHEL4'te olduğunuz hakkında bir neden verebilir misiniz? Bu, 2012'de gerçekten ömrünün sonuna geldi. O zaman diliminde, basitçe yeniden inşa etme fırsatı oldu.

Bu özel sorun için, en iyi yaklaşımın daha güncel bir işletim sistemine yeniden inşa etme çabalarını ölçmek olduğunu düşünüyorum. EL6 veya EL7 iyi adaylar olacaktır ve aktif destek altına alınacaktır.


32
Bu. Sistemleriniz yükseltilemeyecek kadar eskiyse, kesinlikle o kadar eskidirler ki, artık güvenli olmalarına güvenilemezler.
Shadur

20

Rüzgara karşı yürümek çok zor (ve bu durumda işe yaramaz), o zaman neden onu takip etmiyorsun? Yükseltmenin bazen kıçta bir ağrı olabileceğini anlayabilirim ama buna değer.

Ayrıca, 2048-bitsertifikalarla çalışamamak , önümüzdeki birkaç yıl içinde daha fazla soruna yol açacaktır. Sanırım sadece paypal değil, diğer birçok hizmet unutacak 1024-bitve yükseltmeleri takip edememek, işleri işler hale getirmek için deli olmanıza yol açacaktır.


13
Windows ve iOS, krom, Mozilla, 1/1/2017 tarihinden sonra SHA1 sertifikalarını kabul etmiyor. Bu yüzden sadece PayPal için kısa bir düzeltme olacaktır. Hayal edebileceğim tek şey, pahalı bir kredi kartı ödemesi için PIN terminalleri gibi şeyler.
TJJ

5
... müşterilerin sizi çıkarken daha "pahalı" olacak
sysfiend

11

Prensip olarak bir proxy kullanmanın işe yaramadığına dair hiçbir neden göremiyorum. Nginx hakkında belirli bir yapılandırmanın işe yarayıp yaramayacağını bilmiyorum.

Dikkate değer başka bir seçenek de ssl / tls kütüphanesini ve kök sertifika deposunu işletim sistemini bir bütün olarak yükseltmeden yükseltmektir. Açıkçası bu bir düzeyde uyumluluk / regresyon testi gerektirecektir ve muhtemelen söz konusu kütüphanenin kaynağından oluşturulmasını gerektirecektir.

Modern sertifikaları (> 2048 bit kökünden ve sha256 imzalarıyla) işleyemiyorsanız, yakın gelecekte sadece paypal değil, herhangi bir ssl hizmetiyle ilgili sorun yaşamaya başlayacaksınız.


3
Ne RHEL 4 ne de RHEL 5 modern SHA-2 sertifikalarını işlemez.
Michael Hampton

9

Yeni belirtildiği gibi, RHEL4 2012'den beri EOL olmuştur .

Neden yeni sürüme geçemiyorsun? Sorun lisans maliyetiyse, CentOS var . Sorun bir çeşit kod bağımlılığı ise, um. Maliyet için yaptığım gibi bunun için bir glib cevabım yok, ama sadece zamanla kötüleşecek.

Bunun yasal uyumluluk nedenlerinden dolayı saklamanız gereken (ve internetten çok uzak, tutulan) bazı eski bir şey olup olmadığını anlarım, ancak bu sizin bahsettiğiniz gerçek iş kolunuzdur. İstatistik olmak istemiyorsun. Bir hatırlatma: Home Depot veri ihlallerinde 43.000.000 dolar harcadı .

Lütfen "sunucularımızı güncellemek bir seçenek değil" tutumunu yeniden düşünün.


5
RHEL lisansları sürüm kilitli değildir. RHEL 4 için ödeme yapıyorsanız, aynı yetkiyle RHEL 7'ye (geçerli) kadar yükseltebilirsiniz.
Michael Hampton
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.