Debido a los problemas de seguridad de SHA-1 (colisiones), se está actualizando para dar soporte a SHA-256, y este es un artículo que resume muy bien la situación actual.
Como todos los repositorios y clientes existentes todavía usan SHA-1, el problema de compatibilidad es lo más importante.
No es sencillo porque hay partes de la implementación de Git donde SHA-1 está codificado de forma fija.
Se está aplicando un parche para que se pueda especificar un algoritmo de hash distinto usando object-format.
Cuando todo esto esté terminado, no solo será posible usar SHA-256, sino también cambiar a otros algoritmos de hash en el futuro.
2 comentarios
SHA-256 es un tipo de SHA-2, pero como Keccak ya fue seleccionado como SHA-3 hace unos 5 años, me da la impresión de que quizá volver a cambiar a un nuevo algoritmo de hash podría ocurrir otra vez antes de lo esperado. Tengo entendido que SHA-3 está diseñado para ser más seguro que SHA-2 y, al mismo tiempo, tener una estructura más favorable para el procesamiento con aceleración por hardware.
Referencia - Por qué no se usa SHA-3 (coreano):
http://www.itworld.co.kr/news/108321
Google anuncia un ataque con pares de colisión contra la función hash SHA-1 https://cpuu.postype.com/post/580053