Creo que los riesgos actuales, aún habiendo reducido la complejidad a un orden 52, no son suficientemente elevados en la gran mayoría de escenarios como para asumir que SHA1 es inseguro.

El verdadero peligro no está en encontrar colisiones. Si no en encontrar algoritmos que, dado un input que me interese, sean capaces de realizar variaciones a nivel de bits, de forma que no varíen la semántica que me interesa y además provoquen una colisión.

Un ejemplo sería falsificar un PDF con una orden de pago, de modo que únicamente se modifique el importe y además provoque una colisión de hash con respecto al documento auténtico.

Cualquier aproximación en la técnica hacia este escenario sí que sería terrible.

Mientras las colisiones hash se produzcan a partir de inputs que carecen de semántica estamos a salvo puesto que aunque matemáticamente la firma sea válida y podamos verificarla, no tendríamos forma de entender qué es lo que se ha firmado y por tanto el acto no tendría ningún sentido.

Raíz: 30 Años.

* Certificado Autofirmado con SHA1 y SHA256.
….

Ciudadano: 30 Meses.

* Certificados firmados con SHA1.
….

http://www.dnielectronico.es/seccion_integradores/PKIx_Algoritmia_y_Claves.html