Tenemos un producto heredado que se ejecuta en un servidor Win2003. Realiza una llamada a un servicio de terceros para permitir al usuario realizar pagos seguros. Se nos ha notificado que el tercero cambiará a TLS 1.2. Windows Server 2003 no es compatible con TLS 1.2. Por razones que van más allá del alcance de esta pregunta, no podemos mover fácilmente el código a un nuevo servidor y dudamos en arriesgarnos a actualizar el sistema operativo a la máquina de producción. Estoy buscando la solución más simple para ganar algo de tiempo mientras trabajamos para trasladar este producto a la nube. Estoy jugando con las siguientes ideas.
- Utilice un proxy de algún tipo para unir TLS 1.0 y 1.2 (si es posible, no estoy seguro de cómo abordar esto).
- Cree un servicio que enrute solicitudes/respuestas y modifique el archivo host en el servidor para dirigirlo al nuevo punto final.
No creo que sea el primero en abordar este tema y preferiría no reinventar la rueda. Tengo suficiente experiencia como para que alguien me dé un enfoque general con algunas palabras clave, puedo trabajar con el resto.
Pregunta: ¿Qué enfoque permitiría que el código que se ejecuta en un servidor Windows 2003 continúe llamando a un punto final existente después de su actualización a TLS 1.2?
Respuesta1
Ya es hora de que un servicio de pago "seguro" actualice su TLS 1.0, esta actualización debería haberse hecho hace mucho tiempo.
Veo estas opciones:
- clonar el servidor (si es posible a la máquina virtual), intentar actualizar sin conexión
- configurar un proxy SSL: es necesario terminar el socket TLS 1.0 y canalizar los datos a un socket TLS 1.2; Lo más probable es que esto incluya alguna manipulación de DNS y posiblemente requiera el uso de un certificado de CA personalizado.