Soubory JAR podepsané pomocí algoritmu SHA-1 jsou nyní standardně omezeny, a v prostředí Java SE 17 se s nimi zachází, jako by byly nepodepsané. To se týká algoritmů používaných k provedení ověřování typu digest, podpisu a volitelně opatření souboru JAR časovým razítkem. Platí to také pro algoritmy podpisů a digest certifikátů v řetězu certifikátů podepisujícího kódu a oprávnění časového razítka (Timestamp Authority) i veškerých odezev CRL nebo OCSP, které se používají k ověření, zda nebyly tyto certifikáty odvolány.
Chcete-li snížit riziko kompatibility pro aplikace, které byly dříve opatřeny časovými razítky, nebo používáte-li soukromé certifikační autority, existují dvě výjimky z této zásady:
Tyto výjimky mohou být odebrány v budoucím vydání JDK.
Algoritmus SHA-1 již není považován za bezpečný a neměl by být používán. Uživatelé mohou, na vlastní riziko, odebrat tato omezení úpravou konfiguračního souboru java.security (nebo jeho potlačením pomocí systémové vlastnosti java.security.properties) a odebráním kódu SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 z vlastnosti zabezpečení jdk.certpath.disabledAlgorithms a kódu SHA1 jdkCA & denyAfter 2019-01-01 z vlastnosti zabezpečení jdk.jar.disabledAlgorithms.
Další informace k tomuto omezení viz Zakázání podepsaných souborů JAR algoritmu SHA-1.