Me preocupa el envío de información confidencial a largo plazo a través de SSL. Alguien que no tenga la clave privada podría registrar el tráfico SSL (con WireShark, Fiddler o algo así) y almacenarlo durante varios años. No podrían descifrar el tráfico ahora. Pero más adelante, cuando los ataques contra SSL han progresado, o cuando las computadoras se han vuelto más rápidas, pueden descifrar el tráfico que han registrado.
Como entendí de Google, están en SSL temporal por ese motivo (el tema). ¿Es esta realidad o simplemente una forma en que las compañías pueden vender, por el nombre de seguridad?
Es posible que diga algo incorrecto o casi incorrecto aquí, porque no estoy muy familiarizado con el contexto. Me alegro de la ayuda si entendí mal algo o si hay detalles que merecen una explicación adicional.
Por supuesto, esto también se aplica al tráfico comprometido con XSS u otras formas con resultados similares (escuchar el tráfico de alguien).
Como Google declaró en sus razones, dentro de 10 años las computadoras estarán Lo suficientemente fuerte como para descifrar este tráfico. Lo siento no tengo un enlace a Una página de noticias en inglés sobre este tema. Esto significa ¿Que nuestro tráfico puede ser escuchado hoy y archivado? Entonces cuando es el momento adecuado, los datos se descifran mediante fuerza bruta, incluso si el ¿El espía no ha podido obtener la clave privada?
¿Necesitamos cuidar? ¿Cuando y cómo? ¿Puede aplicarse a otras situaciones y luego solo al tráfico http, donde los datos se transfieren cifrados con una confianza muy alta (por humanos)?