SSL с сертификатом и без

Речь идет именно по теме данного форума, т.е. по практической безопасности.
Вопрос по использованию SSL, например, через SSH-канал.

Обычно используют два варианта – с использованием заранее сгенерированного сертификата, выложенного на удаленный сервер, и без него.

Первый вариант вроде как сильнее, потому что невозможна MITM.
Но с другой стороны, если сертификат своевременно не менять (что часто так и бывает), то возникает теоретическая опасность его взлома (подбора).

Второй вариант явно слабее, т.к. подвержен MITM, но с другой стороны имеется свое преимущество: ключи меняются в каждом сеансе, т.е. очень часто, и их подбор в каждом сеансе затруднителен.

Отсюда вопрос: какой вариант использования практически безопаснее?

Или разновидность того же вопроса: как долго нужно не менять сертификат, чтобы безопасность канала связи с ним упала до уровня обычного сеансового, без сертификата?

PS. Не нашел из 100 тем по SSL подходящую для моего вопроса, поэтому сорри, открыл новую.