人们使用 256 位加密是因为他们可以，而且，如果有选择，人们倾向于选择最大的数字，因为他们觉得他们“应得的”。

从科学上讲，当密钥交换依赖于 2048 位 RSA 时，使用 AES-256 确实没有意义。这只是浪费了 CPU 周期；AES-128 也一样好。但是“256”可以吸引审计员屈服。这就是人类心理的错综复杂。

RSA 的弱点仅适用于密钥交换和建立会话。如果攻击者没有抓住这一点，实际通信本身就更能抵抗 256 位对称加密的暴力破解。（尽管目前两者都是方法，但无法通过暴力破解。未来可能出现的密钥减少攻击可能会产生重大影响，但现在还不知道。）RSA 是弱点，但事实并非如此。这意味着不值得为连接/会话的持久部分使用更高的安全性。

当密码套件使用前向保密时，服务器证书仅用于身份验证，不用于加密。

2048 位 RSA 密钥似乎无法证明 256 位密码的合理性，但用于前向保密的 ECDHE 密钥交换会在不使用 CA 签名证书的情况下产生更强大的加密。

如果没有前向保密或 DHE 密钥交换，也许 256 位密码没有意义，但它们对 ECDHE 有意义。

更好的问题是为什么甚至使用 2048 位 rsa 而没有 4096 位 rsa 或更新更好的算法之一？

此外，即使 aes256 正在浪费 cpu 周期（我同意这一点），cpu 周期也很丰富，您应该始终使用被认为安全的加密算法强度的两倍，并且对于任何涉及网络传输的事情，您的连接将会更大比 aes128 vs aes256 的瓶颈，尤其是在标准的 100/100 mbit fth 线上。也许当 100/100 gbit 线路被认为是标准时，差异会更加明显，但到那时我们也将拥有更快的 CPU，关于 aes128 与 aes256 的争论将与今天 8 与 32GB ram（又名 32GB）的争论相同是最低限度）。