Rook, Chrome en Windows usa CryptoAPI en otras plataformas que usan NSS pero la plataforma de revocación de NSS no es 't "Más rápido" y no envía nonces (de forma predeterminada), es la implementación de revocación menos robusta y con menos rendimiento de todos los navegadores.
Hay un montón de mejoras pendientes en el comportamiento de revocación de NSS que deberían solucionar este problema en un futuro próximo.
Ofrecemos servicios de OCSP para nuestros productos, uno de los grupos más grandes de respondedores en Internet; la cantidad de solicitudes que recibimos con nonces se aproxima a 0 (casi ninguna).
makerofthings: cada una de las aplicaciones de Java se comportará de manera diferente, es posible hacer que Java envíe nonces, solicitudes de firmas, etc. todo depende de la aplicación.
En cuanto a la solicitud original, hay una protección limitada para las repeticiones en función del tiempo (consulte las consideraciones de seguridad en - enlace ). El soporte de los nonces también requiere la firma dinámica de respuestas de OCSP, Symantec emite 3 mil millones de respuestas de OCSP al día bajo carga normal y esto es con respuestas almacenadas en caché. La introducción de la firma dinámica sería tanto más costosa de operar (especialmente a nivel mundial), pero también expuesta a un DOS trivial de consumo de recursos.
Los nonces tienen más sentido en la empresa donde las solicitudes firmadas también tienen la posibilidad de funcionar. Si desea usarlas, debería considerar la instalación de un proveedor de revocación en ventanas como el validador de escritorio Axway.
@rmhrisk