Comme d'autres l'ont dit, techniquement, le risque est faible pour une attaque MiM. Cependant, cela a un problème et une implication plus importants.
Dois-je continuer, saisir les détails de ma carte et payer quelque chose sur ce site?
NON, VOUS NE DEVRIEZ PAS UTILISER CE SITE POUR UNE TRANSACTION PAR CARTE
Le problème SSL est, comme indiqué par d'autres, relativement mineur, cependant, l'utilisation d'un hachage SHA-1 signifie deux choses très importantes.
- Ils n'ont pas suivi PCI DSS Les meilleures pratiques. L'utilisation de SHA-1 dans la signature de certificats, ou dans le cryptage lui-même n'est pas recommandée, et doit avoir une exception faite pour cela lors d'un AVS (Automated Vulnerability Scan). Cela signifie que la dernière fois qu'ils ont effectué un scan PCI, ils ont dû faire tout leur possible pour réussir car ils ne suivaient pas les meilleures pratiques. Les hachages SHA-1 ne peuvent être utilisés que dans certaines circonstances et uniquement pour prendre en charge les configurations héritées. Vous devez toujours prendre en charge un autre hachage. Parce que vous utilisez Windows 10, vous prenez en charge les hachages les plus récents, ils ne le sont pas.
- S'ils ne peuvent pas prendre la peine de faire cette certification très simple, facile et obligatoire, ils ne se soucient tout simplement pas assez de la sécurité de votre carte de crédit pour leur faire confiance.
Remarques importantes:
- J'aide les clients avec la conformité PCI tout le temps. C'est assez simple et direct. Cela prend "un certain temps", mais c'est un très petit investissement si vous allez gérer des cartes. (peut-être 2-3 jours avec 1 à 2 heures par jour, après une grosse poussée de 4 heures le premier jour, la première fois, ce qui consiste principalement à lire les règles, pour le plus bas niveau de conformité PCI)
- Un autocollant de conformité PCI n'est en aucun cas une étiquette «Je ne suis pas piratable». Cela signifie seulement que vous avez fait un minimum de choses pour tenter de protéger les données de la carte. À certains égards, ce n'est même pas "suffisant", c'est plutôt un point de départ.
- Il existe différents niveaux de complaisance PCI, mais les niveaux les plus bas (pour les sites qui confient la transaction à un tiers comme Paypal pour effectuer la collecte et le traitement des données) ne peuvent toujours pas utiliser un certificat SSL SHA-1 par sa soi.
- Toutes les passerelles de paiement (comme PayPal) dont j'ai connaissance et qui vous permettent de transmettre les détails de la transaction (pas seulement un bouton d'achat immédiat) doivent être conformes au niveau PCI le plus bas.
Remarque lors de la rédaction de cette réponse et avec des commentaires, des modifications importantes ont dû être apportées à la réponse. En bref, l'utilisation des hachages SHA-1 dans un cadre conforme PCI est très obscure et repose sur un maillage de règles différentes pour le permettre. Bien qu'il ne soit pas actuellement interdit dans les configurations PCI-DSS actuelles, il le sera bientôt. Actuellement, il n'est autorisé que par une combinaison de clauses destinées à prendre en charge les configurations client (navigateur) impaires / anciennes. Plus particulièrement les clauses "Older SSL" qui permettent des configurations SSL non sécurisées avec d'autres moyens de sécurité afin de prendre en charge les navigateurs plus anciens (pensez IE6). Cette réponse a beaucoup changé pour refléter cela. Les notes ci-dessous sont tirées de la réponse originale, mais montrent, à l'OMI, un processus important.
Remarque Après quelques recherches, cette réponse, basée principalement sur le fait qu'ils n'ont pas du tout pris la peine de faire l'audit PCI, est en grande partie fausse . Ils auraient pu terminer l'audit PCI. Cela étant dit, l'idée générale est toujours vraie. S'ils "contournaient" le problème SHA-1 au lieu de simplement mettre à jour "quelque chose d'autre", mon opinion est valable. Gardez à l'esprit que l'autorisation SHA-1 est censée être destinée aux systèmes «vieillissants, anciens et hérités» et non pas comme une pratique permanente. Vous devez maintenant (aujourd'hui) avoir un plan de migration en place, même pour réussir l'audit.
Plus de notes Je vais devoir aborder cette question et nettoyer cette réponse, mais selon "la documentation", il y a quelques règles générales. Les premiers sites plus anciens peuvent toujours proposer SHA1 comme option de cryptage ou de signature, mais uniquement si d'autres options plus puissantes sont également disponibles. Les nouveaux sites ne peuvent pas du tout proposer SHA-1. Tous les sites utilisant SHA-1 doivent avoir un plan de migration. (AVS devrait échouer automatiquement, mais vous pouvez obtenir une exception). Enfin, il existe une date limite claire pour SHA-1 (même si elle peut être déplacée, encore une fois)