Wir haben ein älteres Produkt, das auf einem Win2003-Server läuft. Es ruft einen Drittanbieterdienst auf, um dem Benutzer sichere Zahlungen zu ermöglichen. Wir wurden darüber informiert, dass der Drittanbieter auf TLS 1.2 umsteigen wird. Windows Server 2003 unterstützt TLS 1.2 nicht. Aus Gründen, die über den Rahmen dieser Frage hinausgehen, können wir den Code nicht einfach auf einen neuen Server verschieben, und wir zögern, ein Betriebssystem-Upgrade auf der Produktionsmaschine zu riskieren. Ich suche nach der einfachsten Lösung, um uns etwas Zeit zu verschaffen, während wir daran arbeiten, dieses Produkt in die Cloud zu verschieben. Ich spiele mit den folgenden Ideen.
- Verwenden Sie eine Art Proxy als Brücke zwischen TLS 1.0 und 1.2 (falls möglich, ich bin nicht sicher, wie ich das angehen soll).
- Erstellen Sie einen Dienst, der Anfragen/Antworten weiterleitet, und ändern Sie die Hostdatei im Server, um sie zum neuen Endpunkt weiterzuleiten.
Ich kann mir nicht vorstellen, dass ich der Erste bin, der sich mit diesem Thema befasst – und ich möchte das Rad auch nicht neu erfinden. Ich bin erfahren genug, dass ich den Rest selbst durcharbeiten kann, wenn mir jemand einen allgemeinen Ansatz mit einigen Schlüsselwörtern gibt.
Frage: Welcher Ansatz würde es ermöglichen, dass auf einem Windows 2003-Server ausgeführter Code nach dem Upgrade auf TLS 1.2 weiterhin einen vorhandenen Endpunkt aufruft?
Antwort1
Es ist höchste Zeit, dass ein „sicherer“ Zahlungsdienst sein TLS 1.0 aktualisiert, dieses Update ist längst überfällig.
Ich sehe diese Optionen:
- Server klonen (wenn möglich auf virtuelle Maschine), Upgrade offline versuchen
- Richten Sie einen SSL-Proxy ein. Der TLS 1.0-Socket muss beendet und die Daten in einen TLS 1.2-Socket umgeleitet werden. Dies wird höchstwahrscheinlich einige DNS-Manipulationen beinhalten und möglicherweise die Verwendung eines benutzerdefinierten CA-Zertifikats erfordern.