A causa della matematica di come funzionano gli HMAC, una debolezza nell'algoritmo hash non significa automaticamente che anche un HMAC basato su di esso sia debole. Questo potrebbe sembrare contro-intuitivo, ma si riduce al fatto che la debolezza nota in SHA1 si riferisce alle collisioni e non può essere applicata a un HMAC a causa del metodo di costruzione. In effetti, anche HMAC-MD5 è ancora abbastanza sicuro, anche se MD5 è considerato completamente rotto.
Tutto ciò significa che Google non ha dato alcuna indicazione su come voler ritirare HMAC-SHA1 al momento. Potrebbero volere in futuro, specialmente se vengono trovate diverse forme di attacco contro SHA1, ma attualmente l'unico modo conosciuto per rompere un HMAC-SHA1 è quello di forzare la chiave, che dovrebbe, dato un sensibile processo di selezione chiave, essere realmente difficile.