你当然应该担心。如果信用卡支付处理器无法解决众所周知且明显的安全问题（几天前，IETF明确禁止将 RC4 与 TLS 一起使用），这些问题甚至在全球范围内都可以从外部看到，那么它的状态将如何？他们的内部安全？请注意，提供 RC4 以与旧客户端兼容可能还不错（请参阅有关 PCI 要求的其他答案），但在这种情况下，它仅向所有客户端提供 RC4。

不仅你应该这样想，攻击者也会这样想，并且会检查提供者服务器和基础设施是否存在不太明显但可能更严重的安全问题。他们可能会找到他们，这不是第一次。这实际上会使您的客户和业务也面临风险。

接受 RC4 的支付处理器只是满足 PCI 要求。（WAS - 请参阅下面的更新）

PCI 不允许 RC4。然而，它确实认为 BEAST 的存在是失败的。如果他们要缓解 BEAST 并仍然保持广泛兼容，他们需要 RC4——“防御 BEAST 的唯一可靠方法是优先考虑 RC4 密码套件”。替代方案涉及限制对 TLSv1.1+ 的支持，它存在兼容性问题。

这里有一个很好的问题总结：BEAST vs RC4 Ciphers vs PCI

话虽如此，@steffen-ullrich 在评论中发现我指出您的提供商仅支持两个 RC4 套件。这显然不是一个好主意，也不能完全用 PCI 问题来解释。我愿意每季度赌 2 美元，这是有人被告知要确保他们的网站通过他们的 PCI 扫描仪的结果，所以他们到处乱搞以获得可以通过的东西，但没有意识到他们应该不要选择最小的通过密码。

自 2015 年 2 月撰写此答案以来，PCI 安全标准委员会已禁止 RC4。例如，请参阅本文档。

弱密码可能容易受到中间人 (MITM) 攻击。在某些网络上，例如咖啡店的开放 Wifi，恶意攻击者可能会破坏加密并解密 HTTPS 流量。

然而，根据Qualys的这篇文章，对 RC4 的攻击是不切实际的