페이팔 업그레이드 우회


16

PayPal은 모든 웹 및 API 엔드 포인트에서 SSL 인증서로 업그레이드하고 있습니다. 업계는 컴퓨팅 성능의 발전에 대한 보안 문제로 인해 2048 비트 인증서 (G5)를 위해 1024 비트 SSL 인증서 (G2)를 단계적으로 폐지하고 있으며 데이터 전송 보안을 강화하기 위해보다 강력한 데이터 암호화 알고리즘으로 나아가고 있습니다. SHA 이전 SHA-1 알고리즘 표준에 비해 -2 (256)입니다.

그러나 우리는 여전히 업그레이드와 호환되지 않는 시스템을 사용하고 있으며 서버 업데이트는 옵션이 아닙니다. 따라서 페이팔 엔드 포인트를 프록시 (nginx)로하여 페이팔이 nginx 서버 (업데이트를 지원하는)가 기존 서버 대신 해당 엔드 포인트에 도달하고 있다고 생각합니다. 이게 가능해? 그렇지 않은 경우이 업그레이드를 무시할 수있는 옵션은 무엇입니까?

다음은 nginx 프록시의 샘플 구성입니다.

 서버 {
    듣고 80;
    server_name api.sandbox.paypal.com;

    access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
    error_log /var/log/nginx/api.sandbox.paypal.com.error.log;

    위치 / nvp {
        proxy_pass https://api.sandbox.paypal.com/nvp;
        proxy_set_header X-Real-IP $ remote_addr;
        proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
        proxy_set_header 호스트 $ http_host;
    }
} 

62
이 업그레이드를 이미 너무 오래 연기했습니다. 이 시점에서 서버 업그레이드는 고려해야 할 유일한 옵션입니다. 이러한 제품을 생산하는 것만으로도 적절한 보안 감사에 실패 할 수 있습니다.
Michael Hampton

34
"서버 업데이트는 옵션이 아닙니다." -어려울 수도 있지만 실제로 는 옵션 이되어야 합니다. 시스템의 수명주기를 앞당겨 야하고 여기를 지나쳐 나갔을 때 어떤 시스템 수명주기에도 문제가 있습니다.
Rob Moir

19
"서버 업데이트는 옵션이 아닙니다". 업데이트가 옵션이 아닌 이유는 무엇입니까? 기발한 RHEL4를 사용하는 레거시 코드가 있습니까? 소프트웨어에 RHEL 6 또는 7에서 더 이상 지원되지 않는 플러그인이 있습니까?
Nzall

26
여기 코러스를 반향하겠습니다. 업그레이드가 옵션, 수정없는 이유를 파악 하고 업그레이드 할 수 있습니다. Paypal은 거시기처럼 느끼기 때문에 이것을하지 않습니다.
Shadur

32
보안을 중요시하고 컴퓨터를 배우는 사람으로서, 내가 고객 인 당신이하려는 일을했다는 것을 알게되면 즉시 회사와의 작업을 중단하고 회사에서 다시는 아무것도 사지 않을 것입니다.
Shaamaan

답변:


74

이것은 업그레이드가 적고 재 구축 및 리팩토링 할 기회가 많습니다. 이 RHEL4 시스템은 얼마나 오래 생산 되었습니까? 2006? 2007?

귀사는 Red Hat 수명주기 일정 과 지원 기간 종료에 대한 경고를 무시 했습니까 ? 이는 마지막 패키지 릴리스 이후 이러한 모든 시스템이 불일치하게 실행되고 있음을 의미합니까?

왜 아직도 RHEL4를 사용하고 있는지에 대한 몇 가지 이유를 말씀해 주시겠습니까? 2012 년에는 실제로 수명이 다했습니다.이 기간 동안 단순히 재건 할 기회가있었습니다.

이 특정 문제의 경우 가장 좋은 방법은 최신 OS로 재구성하는 노력을 측정하는 것입니다. EL6 또는 EL7은 좋은 후보가 될 것이며 적극적 지원을받을 것입니다.


32
이. 시스템이 너무 오래되어 업그레이드 할 수없는 경우 확실히 너무 오래되어 더 이상 안전하다고 믿을 수 없습니다.
Shadur

20

바람을 거는 것이 너무 힘들고 (이 경우에는 쓸모가 없습니다), 대신 바람을 따라 가지 않겠습니까? 나는 업그레이드가 때때로 엉덩이에 고통을 줄 수 있음을 이해할 수 있지만 그만한 가치가 있습니다.

또한 2048-bit아직 인증서를 사용할 수 없으면 향후 몇 년 동안 더 많은 문제가 발생할 수 있습니다. 나는 페이팔뿐만 아니라 많은 다른 서비스가 잊어 버리고 1024-bit업그레이드를 따를 수 없다면 일을하기 위해 미치게 될 것입니다.


13
Windows 및 iOS, 크롬, Mozilla는 2017 년 1 월 1 일 이후 SHA1 인증서를 허용하지 않습니다. 따라서 PayPal의 짧은 수정 사항입니다. 내가 생각하기에 비용이 많이 드는 것은 신용 카드 결제를위한 PIN 터미널과 같은 것입니다.
TJJ

5
고객이 당신을 떠날 때 훨씬 더 비싸 질 것입니다 ...
sysfiend

11

원칙적으로 프록시 사용이 효과가없는 이유는 없습니다. 특정 구성이 작동하는지 여부를 알기 위해 nginx에 대해 충분히 알지 못합니다.

고려해야 할 또 다른 옵션은 OS 전체를 업그레이드하지 않고 ssl / tls 라이브러리 및 루트 인증서 저장소를 업그레이드하는 것입니다. 분명히 이것은 어느 정도의 호환성 / 회귀 테스트가 필요하며 소스에서 문제의 라이브러리를 구축하는 것을 포함합니다.

최신 인증서를 처리 할 수 ​​없다면 (> = 2048 비트 루트 및 sha256 서명 사용) 가까운 미래에 페이팔뿐만 아니라 거의 모든 ssl 서비스에 문제가 발생할 것입니다.


3
RHEL 4와 RHEL 5는 최신 SHA-2 인증서를 처리하지 않습니다.
Michael Hampton

9

ewwhite가 지적했듯이 RHEL4는 2012 년부터 EOL 입니다.

왜 업그레이드 할 수 없습니까? 라이센스 비용 문제인 경우 CentOS가 있습니다. 문제가 어떤 종류의 코드 의존성이라면, 음. 나는 비용을 지불하는 것처럼 그것에 대한 glib 대답이 없지만 시간이 지남에 따라 악화 될 것입니다.

이것이 법적 준수 이유 때문에 인터넷에서 멀리 떨어진 곳에 보관해야하는 레거시 문제인지 이해하고 있지만 이것이 실제 비즈니스 라인입니다. 통계가되고 싶지 않습니다. Home Depot은 데이터 유출에 $ 43,000,000 를 소비 했습니다.

"서버 업데이트는 옵션이 아닙니다"자세를 다시 고려하십시오.


5
RHEL 라이센스는 버전이 잠겨 있지 않습니다. RHEL 4에 대한 비용을 지불하는 경우 동일한 권한으로 RHEL 7 (현재)로 업그레이드 할 수 있습니다.
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.