Hešovací algoritmus SHA-1 je již několik let považován za příliš slabý a neměl by se proto používat tam, kde záleží na bezpečnosti. Například pro kvalifikované certifikáty se v Česku nesmí používat už od roku 2010. Webový prohlížeč Google Chrome od verze 39 u takových certifikátů zobrazuje varování.
Jak ale zjistila firma Netcraft, certifikáty s algoritmem SHA-1 se stále poměrně často používají. Ještě v prvních měsících letošního roku byly dokonce častější než certifikáty využívající silnější algoritmy třídy SHA-2, ještě nyní je lze nalézt na milionu webů. Vyskytují se dokonce i na webech patřících pod Ministerstvo obrany USA, přestože to úřad NIST již dva roky zakazuje.
Od roku 2016 už by nové certifikáty se SHA-1 přibývat neměly (kromě těch pro interní použití), protože CA/Browser Forum Baseline Requirements (požadavky na certifikační autority, jejichž kořenové certifikáty se distribuují s webovými prohlížeči) jejich vydávání zakazují.
