Sono preoccupato per l'invio di informazioni sensibili a lungo termine su SSL. Qualcuno che non ha la chiave privata potrebbe registrare il traffico SSL (con WireShark, Fiddler o altri) e conservarlo per diversi anni. Non sarebbero in grado di decodificare il traffico ora. Ma più tardi, quando gli attacchi contro SSL sono progrediti, o quando i computer sono diventati più veloci, potrebbero decrittografare il traffico che hanno registrato.
Come ho capito di Google, sono in SSL temporaneo per questo motivo (l'argomento). Questa realtà o solo un modo per le aziende di vendere, con il nome di sicurezza?
Potrei affermare qualcosa di sbagliato o quasi sbagliato qui, perché non sono super-familiare nel contesto. Sono felice di aiutare se ho frainteso qualcosa o se ci sono dettagli che valgono una spiegazione in più.
Ovviamente questo vale anche per il traffico che è compromesso con XSS o altri modi con un risultato simile (ascolta il traffico di qualcuno).
As Google stated in their reasons, within 10 years the computers will be strong enough to decrypt this traffic. I'm sorry I do not have a link to an English news page on this topic. Does this mean that our traffic can be listened on today and be archived? Then when the time is right, the data is decrypted by brute force, even if the eavesdropper has not been able to obtain the private key?
Dobbiamo preoccuparci? Quando e come? Si può applicare ad altre situazioni quindi solo al traffico http, dove i dati vengono trasferiti crittografati con un altissimo livello di attendibilità (da umani)?