Hešový algoritmus SHA-1 je již dlouho označován za nebezpečný, s vysokým rizikem snadného nalezení kolizí. První teoretická zjištění se objevila v roce 2005, postupně přicházela stále další. Praktický útok ve formě cíleného vytvoření dvou odlišných PDF dokumentů se stejným hešem se povedl v únoru 2017. Během roků bylo používání algoritmu omezováno, ať již ve formě doporučení či přímo právně závaznými dokumenty (např. pro oblast elektronického podpisu).
Podpora ve webových prohlížečích ale přetrvávala relativně dlouho. Certifikáty, v nichž byl algoritmus SHA-1 využit, tak šlo ještě na přelomu roku používat ve všech běžných prohlížečích. Pak ale nastal rychlý konec. V lednu podpora zmizela z prohlížeče Google Chrome/Chromium, v únoru z browseru Mozilla Firefox a v březnu z Apple Safari. Nyní přišly na řadu i prohlížeče firmy Microsoft, tedy Internet Explorer a Edge. Nad SHA-1 v HTTPS se tak definitivně „zavírá voda‟.
Konec SHA-1 se týká jen veřejného webu. Pro interní použití lze za určitých podmínek i nadále tento algoritmus využívat, byť se silně doporučuje co nejdřívější migrace na SHA-2.
