すなわち、「256ビットの鍵長に3ビット追加するごとに解読の労力は倍増する」ということ。1991年から2010年をみてもこのセオリーは破られていません。2009年に768ビットのRSA暗号が解読されましたが、1024ビットについては、少なくともわたしが生きているうちに解読される可能性は少ないでしょう。

だったら、なんでこんな早くから 2048bit に移行しないといけないんだと思うのが人情. エコ(笑)的にも消費電力上がるしな. わずかばかりとはいえ.

強いて問題を挙げるとすると、「サーバー側で新暗号方式に移行した際に、未対応のクライアントが通信できなくなるのでは」ということになりますが、実はこれをサーバー側で解決する「クロスルート方式」という仕組みができあがっています。
　サーバー側でRSA/2048ビットの証明書を導入したとします。同様に2048ビットに対応するクライアントなら問題なく通信できるわけですが、クロスルート方式では、1024ビットにしか対応していないクライアントでも通信可能になるんです。

検証が必要なチェーンに1枚も2048bitの証明書が出てこなかったら移行になっていない気がするんだけど??? 調べた感じでは、携帯電話に 2048bit の新しい ROOT 証明書がはいっていないので、その新しい ROOT 証明書相当を中間証明書扱いにして、既存の ROOT 証明書で検証可能にする(すなわち4層)という風に見えるんだけど、理解違いかなあ. それなら 2048bit に対応しているけど、新しい ROOT 証明書が入っていない携帯が救える.