PayPal正在升级所有Web和API端点上的SSL证书。 由于计算能力进步的安全性问题,业界正在逐步取消1024位SSL证书(G2),转而采用2048位证书(G5),并且正朝着更高强度的数据encryptionalgorithm发展,以确保数据传输,SHA -2(256)在更旧的SHA-1algorithm标准。
但是,我们仍在使用与升级不兼容的系统,并且不能更新我们的服务器。 所以,我们认为是代理(nginx)的贝宝端点,所以贝宝认为,nginx服务器(支持更新)是击中该端点,而不是我们的旧服务器。 这可能吗? 如果没有,绕过这个升级有什么可能的select?
这是一个nginx代理的示例configuration
服务器{
听80;
server_name api.sandbox.paypal.com;
access_log /var/log/nginx/api.sandbox.paypal.com.access.log;
error_log /var/log/nginx/api.sandbox.paypal.com.error.log;
位置/ nvp {
proxy_pass https://api.sandbox.paypal.com/nvp;
proxy_set_header X-Real-IP $ remote_addr;
proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
proxy_set_header主机$ http_host;
}
}
这不是升级,更重要的是重build和重构的机会。 这些RHEL4系统已经投产了多长时间? 2006年? 2007年?
贵组织是否忽略了红帽生命周期计划和关于支持期结束的警告? 这是否意味着所有这些系统自上一个软件包发布以来都无法匹敌?
你能给出一些关于你为什么还在RHEL4上的理由吗? 这真的是在2012年报废。在那段时间,有机会重build。
对于这个特定的问题,我认为最好的办法是衡量重build到更新的操作系统的努力。 EL6或EL7将是很好的候选人,并会得到积极的支持。
这很难(在这种情况下是无用的)逆风行走,为什么不跟着它呢? 我可以理解,升级可能有时是一个痛苦的屁股,但它是值得的。
另外,如果不能使用2048-bit证书,将会在未来几年导致更多的问题。 我想不仅是paypal,但许多其他服务将忘记1024-bit ,不能跟随升级将导致你疯了,使事情工作。
原则上,我没有看到为什么使用代理不起作用的原因。 我对nginx知之甚less,不知道这个特定的configuration是否工作。
另一个可能值得考虑的select是升级ssl / tls库和根证书存储,而不用整体升级操作系统。 显然这需要一定程度的兼容性/回归testing,并可能涉及从源头上build立图书馆。
如果你不能处理现代证书(从一个> = 2048位的根和SHA256签名),你将在不久的将来几乎任何SSL服务的问题,不只是贝宝。
正如ewwhite指出的, 自2012年以来 , RHEL4一直是EOL 。
你为什么不升级? 如果问题是许可成本,那就是CentOS 。 如果问题是某种代码依赖,那么。 我没有一个像我这样花钱的回答,但随着时间的推移,情况会变得更糟。
我会理解,如果这是一些遗留的事情,你需要遵守法律合规的原因(远离互联网远离),但这是你正在谈论的业务线。 你不想成为一个统计数据。 提醒一下:家得宝在数据泄露方面花费了4300万美元 。
请重新考虑“更新我们的服务器不是一种select”的立场。