PFS tiene que ver con la resistencia al compromiso clave, no con el aumento del poder computacional.
Si le temen las computadoras convencionales más rápidas, use suficientes tamaños de clave. p.ej. una clave RSA de 4096 bits o una clave ECC de 256 a 512 bits. Al menos para el caso clave de ECC de 512 bits, podemos decir con seguridad que las computadoras convencionales cada vez más rápidas no son una amenaza.
Desafortunadamente, las claves RSA grandes se vuelven bastante lentas, por lo que a niveles de seguridad altos, es preferible ECC.
Para SSL, la forma más fácil de obtener ECC para la confidencialidad es usar las suites ECDHE seguras. Pero el hecho de que esas suites ofrezcan PFS y niveles de seguridad más altos es simplemente una coincidencia, el nivel de seguridad en bits y PFS no está directamente relacionado.
= > Vaya con las suites ECDHE donde estén disponibles. Ofrecen PFS y niveles de seguridad más altos con un rendimiento decente.
Para la seguridad a largo plazo, me preocuparía más por las computadoras cuánticas, que destruyen tanto el ECC como el RSA usando el algoritmo de Shor y los avances matemáticos que podrían romper cualquiera de ellos, o ambos.