Kể từ năm 2005, SHA-1 đã không được coi là an toàn trước các đối thủ được tài trợ tốt;[2] vào năm 2010, nhiều tổ chức đã khuyến nghị thay thế nó.[3][4][5] NIST chính thức không còn sử dụng SHA-1 vào năm 2011 và không cho phép sử dụng chữ ký số vào năm 2013. Kể từ năm 2020, các cuộc tấn công tiền tố được chọn chống lại SHA-1 hiện nay đã là khả năng thực tế [6], và do vậy cần loại bỏ SHA-1 khỏi các sản phẩm càng sớm càng tốt và sử dụng SHA-256 hoặc SHA-3 để thay thế. Thay thế SHA-1 là khẩn cấp, nơi nó được sử dụng cho chữ ký.
Tất cả các nhà cung cấp trình duyệt web lớn đã ngừng chấp nhận chứng chỉ SSL SHA-1 vào năm 2017.[7][8][9] Vào tháng 2 năm 2017, CWI Amsterdam và Google tuyên bố họ đã thực hiện một cuộc tấn công va chạm chống lại SHA-1, xuất bản hai tệp PDF không giống nhau tạo ra hàm băm SHA-1 giống nhau.[10] Nhưng SHA-1 vẫn an toàn cho HMAC.[11]
