¿Todavía está permitido usar certificados SHA-1 en las páginas de pago VISA / MasterCard?
En caso afirmativo, ¿estará prohibido y cuándo?
Sé que los navegadores lo mostrarán como no seguro después de algún tiempo, pero quiero saber sobre las pautas de VISA / MasterCard.
No, no lo es (y no lo ha sido durante años). El uso de un certificado SHA-1 provocará una falla en cualquier auditoría de cumplimiento actual.
U.S. Actualmente, las normativas NIST y PCI requieren el uso de SHA-2.
Los escáneres de cumplimiento de PCI actualmente requieren que sus clientes utilicen certificados SSL compatibles con SHA-2. Para validar el cumplimiento de PCI DSS, debe asegurarse de que los servidores web en el entorno PCI estén configurados para no permitir la versión 2 de SSL (Secure Sockets Layer), así como los cifrados y hashes débiles. Los escáneres de red PCI que encuentren certificados SHA-1 fallarán en una auditoría de cumplimiento.