Devido aos problemas de segurança do SHA-1 (colisões), o Git está sendo atualizado para oferecer suporte a SHA-256, e este é um artigo que organiza bem a situação atual.
Como todos os repositórios e clientes existentes ainda usam SHA-1, a questão mais importante é a compatibilidade.
Não é algo simples, porque há partes da implementação do Git em que o SHA-1 está codificado diretamente.
Estão sendo aplicados patches para permitir a especificação de um algoritmo de hash separado usando object-format
Quando tudo estiver concluído, não só será possível usar SHA-256, como também trocar para outros algoritmos de hash no futuro.
2 comentários
O SHA-256 é um tipo de SHA-2, mas como o algoritmo chamado Keccak já foi escolhido como SHA-3 há cerca de 5 anos, fico pensando que talvez a troca para um novo algoritmo de hash possa acabar acontecendo de novo mais cedo do que se imagina. Ouvi dizer que o SHA-3 é mais seguro que o SHA-2 do ponto de vista de segurança e também foi projetado com uma estrutura mais favorável à aceleração por hardware.
Referência - Por que não usar SHA-3? (em coreano):
http://www.itworld.co.kr/news/108321
Google anunciou um ataque com par de colisão na função de hash SHA-1 https://cpuu.postype.com/post/580053