Hešovací algoritmus SHA-1 byl již před několika lety shledán příliš slabým (a například pro kvalifikované certifikáty se od roku 2010 nesmí používat), protože existuje reálná možnost nalezení kolizí, byť není zdaleka tak snadná jako například pro ještě slabší algoritmus MD5. V praxi se ale u certifikátů používaných na webu stále poměrně hojně vyskytuje.
Firma Google chystá pro webový prohlížeč Chromium/Chrome 39 varování, které se uživateli zobrazí při návštěvě webové stránky, jejíž certifikát (nebo certifikát v řetězci před ním; netýká se kořenových) algoritmus SHA-1 využívá. Varování se bude v první fázi týkat jen certifikátů, které budou expirovat počínaje 1. lednem 2017. Ve verzi 40 se přidá ještě předcházející půlrok (tj. datum se posune na 1. červenec 2016) a certifikáty expirující od roku 2017 budou přímo považovány za nevhodné („postrádající bezpečnost“). A konečně verze 41 bude znamenat opět půlroční posun (na leden 2016) a certifikáty se SHA-1 expirující od roku 2017 budou označeny jako nebezpečné (červené a přeškrtnuté „https“).
