Come altri hanno già detto, tecnicamente il rischio è minimo per un attacco MiM. Tuttavia questo ha un problema e un'implicazione più grandi.
Devo andare avanti e inserire i dettagli della mia carta e pagare qualcosa su questo sito?
NO, NON DEVI USARE QUESTO SITO PER UNA TRANSAZIONE CON CARTA
Il problema SSL è, come affermato da altri, relativamente minore, tuttavia, l'utilizzo di un hash SHA-1 significa due cose molto importanti.
- Non hanno seguito PCI DSS Migliori pratiche. L'uso di SHA-1 nella firma dei certificati o nella crittografia autonoma non è consigliato e deve essere fatta un'eccezione durante una scansione AVS (Automated Vulnerability Scan). Ciò significa che, l'ultima volta che hanno eseguito una scansione PCI, hanno dovuto fare di tutto per passare perché non stavano seguendo una best practice. Gli hash SHA-1 possono essere utilizzati solo in alcune circostanze e solo per supportare configurazioni legacy. Devi sempre supportare un altro hash. Poiché utilizzi Windows 10, supporti gli hash più recenti, non lo sono.
- Se non possono preoccuparsi di eseguire questa certificazione molto semplice, facile e richiesta, semplicemente non si preoccupano abbastanza della sicurezza della tua carta di credito per fidarti di loro.
Note importanti:
- Aiuto sempre i clienti con la conformità PCI. È abbastanza semplice e diretto. Ci vuole "un po 'di tempo", ma è un investimento molto piccolo se intendi gestire le carte. (forse 2-3 giorni con 1-2 ore al giorno, dopo una grande spinta di 4 ore il primo giorno, la prima volta, che è principalmente leggere le regole, per il livello più basso di conformità PCI)
- L'adesivo di conformità PCI non è in alcun modo un'etichetta "Non sono hackerabile". Significa solo che hai fatto una serie minima di cose per tentare di proteggere i dati della carta. Per molti versi non è nemmeno "abbastanza", è più un punto di partenza.
- Esistono diversi livelli di compiacenza PCI, ma i livelli più bassi (per i siti che cedono la transazione a terzi come Paypal per eseguire l'effettiva raccolta ed elaborazione dei dati) non possono utilizzare un certificato SSL SHA-1 se stesso.
- Tutti i gateway di pagamento (come PayPal) di cui sono a conoscenza e che consentono di trasmettere i dettagli della transazione (non solo un pulsante Acquista ora) devono essere conformi allo standard PCI al livello più basso.
Nota quando si scrive questa risposta e con i commenti, è necessario apportare modifiche significative alla risposta. In breve, l'uso degli hash SHA-1 in un ambiente conforme allo standard PCI è molto oscuro e si basa su una rete di regole diverse per consentirlo. Sebbene non sia attualmente vietato nelle attuali configurazioni PCI-DSS, lo sarà presto. Attualmente è consentito solo tramite una combinazione di clausole intese a supportare configurazioni di client (browser) dispari / vecchi. In particolare le clausole "Older SSL" che consentono configurazioni SSL non sicure con altri mezzi di sicurezza al fine di supportare browser meno recenti (si pensi a IE6). Questa risposta è cambiata molto per riflettere questo. Le note seguenti sono dalla risposta originale, ma mostra, IMO, un processo importante.
Nota Dopo alcune ricerche questa risposta, basata principalmente sul fatto che non si sono presi la briga di fare l'audit PCI, è in gran parte sbagliata . Avrebbero potuto completare l'audit PCI. Detto questo, l'idea generale è ancora vera. Se hanno "aggirato" il problema SHA-1 invece di limitarsi ad aggiornare a "qualcos'altro", allora la mia opinione è valida. Tieni presente che consentire SHA-1 dovrebbe essere per sistemi "obsoleti, vecchi e legacy" e non come pratica continua. Ora (oggi) devi avere un piano di migrazione in atto anche per superare l'audit.
Altre note Dovrò affrontare questo e ripulire questa risposta, ma secondo "i documenti" ci sono alcune regole generali. I primi siti meno recenti possono ancora offrire SHA1 come opzione di crittografia o firma, ma solo se sono disponibili anche altre opzioni più potenti. I nuovi siti non possono offrire SHA-1 affatto. Tutti i siti che utilizzano SHA-1 devono disporre di un piano di migrazione. (AVS dovrebbe fallire automaticamente, ma puoi ottenere un'eccezione). Infine c'è una chiara data limite per SHA-1 (sebbene possa essere spostata, ancora una volta)