बायपास पेपैल नवीनीकरण


16

पेपाल सभी वेब और एपीआई एंडपॉइंट्स पर एसएसएल सर्टिफिकेट में अपग्रेड कर रहा है। कंप्यूटिंग शक्ति में प्रगति पर सुरक्षा चिंताओं के कारण, उद्योग 2048-बिट प्रमाण पत्र (G5) के पक्ष में 1024-बिट एसएसएल प्रमाणपत्र (G2) को चरणबद्ध कर रहा है, और डेटा ट्रांसमिशन, SHA को सुरक्षित करने के लिए एक उच्च शक्ति डेटा एन्क्रिप्शन एल्गोरिथ्म की ओर बढ़ रहा है। -2 (256) पुराने SHA-1 एल्गोरिथ्म मानक पर।

हालाँकि, हम अभी भी ऐसे सिस्टम का उपयोग कर रहे हैं जो अपग्रेड के अनुकूल नहीं हैं और हमारे सर्वर को अपडेट करना एक विकल्प नहीं है। तो, हम जो सोचते हैं वह है paypal endpoint को प्रॉक्सी (nginx) करने के लिए ताकि paypal को लगता है कि nginx सर्वर (जो अपडेट का समर्थन करता है) हमारे पुराने सर्वर के बजाय उस समापन बिंदु को मार रहा है। क्या यह संभव है? यदि नहीं, तो इस अपग्रेड को बायपास करने के लिए संभावित विकल्प क्या हैं?

यहाँ nginx प्रॉक्सी का एक नमूना विन्यास है

 सर्वर {
    80 सुनो;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    स्थान / nvp {
        प्रॉक्सी_पास https://api.sandbox.paypal.com/nvp;
        प्रॉक्सी_सेट_हाइडर एक्स-रियल-आईपी $ रिमोट_ड्रेड;
        xy_set_header X- फ़ॉर्वर्डेड-$ $ के लिए प्रॉक्सी_एड_x_forwarded_for;
        xy_set_header होस्ट $ http_host;
    }
} 

62
आपने बहुत पहले ही इन अपग्रेड को बंद कर दिया है। इस बिंदु पर सर्वरों को अपग्रेड करना एकमात्र विकल्प है जिस पर आपको विचार करना चाहिए। बस उत्पादन में उन चीजों का होना एक उचित सुरक्षा ऑडिट को विफल करने के लिए पर्याप्त है।
माइकल हैम्पटन

34
"और हमारे सर्वर को अपडेट करना एक विकल्प नहीं है।" - मुझे यकीन है कि यह मुश्किल हो सकता है, लेकिन यह वास्तव में एक विकल्प बनने की जरूरत है । किसी भी सिस्टम के जीवनचक्र में एक बिंदु आता है जब आपको इसे आगे की ओर ले जाने की आवश्यकता होती है और आप यहां से अच्छी तरह से अतीत में चले गए हैं।
रॉब मोइर

19
"हमारे सर्वर को अपडेट करना एक विकल्प नहीं है"। क्यों अद्यतन एक विकल्प नहीं है? क्या आपके पास विरासत कोड है जो आरएचईएल 4 के एक क्विक का उपयोग करता है? क्या आपके सॉफ़्टवेयर में एक प्लगइन है जो अब RHEL 6 या 7 पर समर्थित नहीं है?
नजल्ल

26
मैं यहाँ कोरस गूँज रहा हूँ। बाहर क्यों उन्नयन के लिए एक विकल्प, ठीक नहीं है चित्रा कि , तो नवीनीकरण करें। पेपैल ऐसा सिर्फ इसलिए नहीं कर रहा है क्योंकि वे डिक्स की तरह महसूस कर रहे हैं।
शादुर

32
एक सुरक्षा-सचेत और कंप्यूटर-साक्षर व्यक्ति के रूप में, अगर मैं आपका ग्राहक था और आपको पता चला कि आप जो करने का प्रयास कर रहे हैं, मैं तुरंत आपकी कंपनी के साथ काम करना बंद कर दूंगा और बहुत संभवत: आपकी कंपनी से फिर कभी कुछ नहीं खरीदूंगा।
श्यामन

जवाबों:


74

यह अपग्रेड का कम और पुनर्निर्माण का एक और अवसर है। ये आरएचईएल 4 सिस्टम कितने समय से उत्पादन में है? 2006? 2007?

क्या आपके संगठन ने Red Hat जीवन चक्र अनुसूची और समर्थन अवधियों के अंत के बारे में चेतावनियों को अनदेखा किया था ? क्या इसका मतलब है कि पिछले पैकेज के रिलीज होने के बाद से ये सभी सिस्टम बेजोड़ चल रहे हैं?

क्या आप आरएचईएल 4 पर अभी भी कुछ कारण बता सकते हैं? यह वास्तव में 2012 में जीवन का अंत हो गया। उस समय की अवधि में, बस पुनर्निर्माण का अवसर मिला है।

इस विशेष मुद्दे के लिए, मुझे लगता है कि सबसे अच्छा तरीका यह है कि अधिक वर्तमान ओएस पर पुनर्निर्माण के प्रयास को गेज करना। EL6 या EL7 अच्छे उम्मीदवार होंगे और सक्रिय समर्थन में आएंगे।


32
इस। यदि आपके सिस्टम इतने पुराने हैं कि उन्हें अपग्रेड नहीं किया जा सकता है, तो वे निश्चित रूप से इतने पुराने हैं कि संभवतः उन्हें अब सुरक्षित होने का भरोसा नहीं दिया जा सकता है।
शादुर

20

यह हवा के खिलाफ चलना इतना कठिन (और इस मामले में बेकार) है, तो आप इसके बजाय इसका पालन क्यों नहीं करते? मैं समझ सकता हूं कि अपग्रेड करना कभी-कभी गधे में दर्द हो सकता है लेकिन यह इसके लायक है।

इसके अलावा, 2048-bitअभी तक प्रमाण पत्र के साथ काम करने में सक्षम नहीं होने के कारण आपको अगले कुछ वर्षों में कई और समस्याओं का सामना करना पड़ेगा। मुझे लगता है कि न केवल पेपाल, बल्कि कई अन्य सेवाओं के बारे में भूल जाएंगे 1024-bitऔर अपग्रेड का पालन नहीं करने के कारण आप चीजों को काम करने के लिए पागल हो जाएंगे।


13
विंडोज और आईओएस, क्रोम, मोज़िला, सभी 1/1/2017 के बाद SHA1 सेरेट्स को स्वीकार नहीं कर रहे हैं। तो यह केवल PayPal के लिए एक छोटा फिक्स होगा। केवल एक चीज जिसकी मैं कल्पना कर सकता हूं कि वह महंगी हैं, क्रेडिट कार्ड से भुगतान के लिए पिन-टर्मिनल जैसी चीजें हैं।
TJJ

5
यह तब और भी अधिक "महंगा" होगा जब ग्राहक आपको छोड़ देंगे ...
sysfiend

11

सिद्धांत रूप में मुझे कोई कारण नहीं दिखता है कि प्रॉक्सी का उपयोग करने से काम नहीं चलेगा। मुझे यह जानने के लिए पर्याप्त नहीं है कि यह विशेष रूप से काम करेगा या नहीं।

एक और विकल्प जो विचार करने लायक हो सकता है वह है ओएस के उन्नयन के बिना ssl / tls लाइब्रेरी और रूट सर्टिफिकेट स्टोर को अपग्रेड करना। जाहिर है कि इसके लिए अनुकूलता / प्रतिगमन परीक्षण के कुछ स्तर की आवश्यकता होगी और संभवतः स्रोत से प्रश्न में पुस्तकालय का निर्माण करना शामिल होगा।

यदि आप आधुनिक प्रमाणपत्र (a = = 2048 बिट रूट और sha256 हस्ताक्षरों से) को नहीं संभाल सकते हैं, तो आपको निकट भविष्य में बहुत अधिक एसएलएल सेवा के साथ समस्याएँ शुरू करने जा रहे हैं, न कि केवल पेपाल।


3
न तो RHEL 4 और न ही RHEL 5 आधुनिक SHA-2 प्रमाणपत्र संभालेंगे।
माइकल हैम्पटन

9

जैसा कि ewwhite ने बताया है, 2012 से RHEL4 EOL रहा है

आप अपग्रेड क्यों नहीं कर सकते? यदि समस्या लाइसेंसिंग लागत है, तो CentOS है । यदि समस्या किसी प्रकार की कोड निर्भरता है, तो उम। मेरे पास इसके लिए एक शानदार जवाब नहीं है जैसे मैं लागत के लिए करता हूं, लेकिन यह केवल समय के साथ खराब होने वाला है।

मुझे समझ में आता है कि अगर यह कुछ कानूनी चीज थी जिसे आपको कानूनी अनुपालन कारणों (और इंटरनेट से बहुत दूर रखा गया है) के लिए चारों ओर रखने की आवश्यकता थी, लेकिन यह आपके व्यवसाय की वास्तविक रेखा है जिसके बारे में आप बात कर रहे हैं। आप एक आँकड़ा नहीं बनना चाहते हैं। बस एक अनुस्मारक: होम डिपो ने अपने डेटा उल्लंघन पर $ 43,000,000 खर्च किए ।

कृपया "हमारे सर्वर को अपडेट करना एक विकल्प नहीं है" पर पुनर्विचार करें।


5
आरएचईएल लाइसेंस वर्जन लॉक नहीं हैं। यदि आप आरएचईएल 4 के लिए भुगतान कर रहे हैं, तो आप एक ही हकदार पर RHEL 7 (वर्तमान) के लिए सभी तरह से अपग्रेड कर सकते हैं।
माइकल हैम्पटन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.