На что на самом деле влияет параметр «алгоритм безопасного хеширования», указанный на вкладке «Дополнительно» свойств доверия проверяющей стороны ADFS?
То, что SHA1 является одним из вариантов, является проблемой безопасности? Если нет, то почему?
Снимок экрана: свойства проверяющей стороны ADFS
Этот блог из MS описывает следующее:
Доверие проверяющей стороны в ADFS должно быть настроено с использованием правильного алгоритма безопасного хеширования. Большинство приложений SAML будут поддерживать SHA-1, тогда как большинство приложений WS-Fed будут поддерживать SHA-256. Перейдите к свойствам приложения проверяющей стороны в ADFS, а затем на вкладку «Дополнительно» и выберите правильный алгоритм хеширования из раскрывающегося списка:
Наше приложение использует SAML, но наши клиенты часто спрашивают об использовании SHA1, когда я прошу их использовать настройку, как это предлагается в большей части документации ADFS.
Microsoft уже объявила, что не будет принимать сертификаты SHA1 после 2016 года.
Поэтому рекомендуется использовать SHA2. Однако есть вероятность, что некоторые приложения не поддерживают SHA2. В этом случае вы можете связаться с поставщиком приложения для получения новой версии, поддерживающей SHA2. В противном случае вы должны выбрать здесь SHA1 для этих приложений.
Если ваш алгоритм хеширования центра сертификации использует SHA1, вам необходимо измерить и спланировать мигрировать в SHA2.
Вам все равно нужно будет провести инвентаризацию существующих сертификатов и заменить сертификат SHA1.