Debido a las matemáticas de cómo funcionan los HMAC, una debilidad en el algoritmo hash no significa automáticamente que un HMAC basado en él también sea débil. Esto puede parecer contrario a la intuición, pero se debe al hecho de que la debilidad conocida en SHA1 se relaciona con las colisiones y no se puede aplicar a un HMAC debido al método de construcción. De hecho, incluso HMAC-MD5 sigue siendo bastante seguro, aunque MD5 se considera completamente roto.
Todo esto significa que Google no ha hecho ninguna indicación de querer retirar HMAC-SHA1 en este momento. Es posible que quieran hacerlo en el futuro, especialmente si se encuentran diferentes formas de ataque contra SHA1, pero actualmente la única forma conocida de romper un HMAC-SHA1 es mediante la fuerza bruta de la clave, lo que debería, dado un proceso de selección de teclas sensible, ser realmente duro.