Temos um produto legado rodando em um servidor Win2003. Faz uma chamada para um serviço terceirizado para permitir ao usuário fazer pagamentos seguros. Fomos notificados de que o terceiro mudará para o TLS 1.2. O Windows Server 2003 não oferece suporte a TLS 1.2. Por razões que vão além do escopo desta questão, não podemos mover facilmente o código para um novo servidor e hesitamos em arriscar uma atualização do sistema operacional para a máquina de produção. Estou procurando a solução mais simplista para ganhar algum tempo enquanto trabalhamos para mover este produto para a nuvem. Estou brincando com as seguintes idéias.
- Use algum tipo de proxy para fazer a ponte entre o TLS 1.0 e 1.2 (se possível, não sei como abordar isso).
- Crie um serviço que roteia solicitações/respostas e modifique o arquivo host no servidor para direcionar para o novo endpoint.
Não consigo imaginar que seja o primeiro a lidar com esta questão - e preferiria não reinventar a roda. Tenho experiência suficiente para que alguém me dê uma abordagem geral com algumas palavras-chave, posso trabalhar no resto.
Pergunta: Qual abordagem permitiria que o código executado em um servidor Windows 2003 continuasse a chamar um endpoint existente após a atualização para o TLS 1.2?
Responder1
Já é hora de um serviço de pagamento "seguro" atualizar seu TLS 1.0, esta atualização já deveria ter sido feita há muito tempo.
Eu vejo estas opções:
- clone o servidor (se possível para a máquina virtual), tente atualizar offline
- configurar um proxy SSL - o soquete TLS 1.0 precisa ser finalizado e os dados canalizados para um soquete TLS 1.2; isso provavelmente incluirá alguma manipulação de DNS e possivelmente exigirá o uso de um certificado CA personalizado