ADFS 信赖方信任属性的“高级”选项卡中指定的“安全哈希算法”选项实际上会产生什么影响?
SHA1 作为选项之一是否存在安全问题?如果不是,原因何在?
本博客MS 的描述如下:
ADFS 中的依赖方信任必须配置正确的安全哈希算法。大多数 SAML 应用程序将支持 SHA-1,而大多数 WS-Fed 应用程序将支持 SHA-256。转到 ADFS 中依赖方应用程序的属性,然后转到高级选项卡,从下拉列表中选择正确的哈希算法:
我们的应用程序使用 SAML,但是当我要求他们使用大多数 ADFS 文档建议的设置时,我们的客户经常会询问 SHA1 的使用情况。
答案1
微软已经宣布2016年后将不再接受SHA1证书。
因此,我们建议您使用 SHA2。但是,有些应用程序可能不支持 SHA2。在这种情况下,您可以联系应用程序供应商获取支持 SHA2 的新版本。否则,您必须在此处为这些应用程序选择 SHA1。
如果您的证书颁发机构哈希算法使用 SHA1,您需要测量并计划迁移到 SHA2。
您仍然需要清点现有证书并替换 SHA1 证书。