Tengo dificultades para comprender el impacto que tiene el cliente que no tiene. Entiendo que el servidor nonce puede prevenir el ataque de reproducción. ¿No es el cliente una parte innecesaria de la prevención de ataques de repetición? Por ejemplo, un cliente que tiene la intención de iniciar un ataque de repetición puede usar la misma fuente de acceso que estaba reproduciendo.
¿En qué escenario el cliente que no está en SSL previene un cierto tipo de ataque?
No hay "nonce de cliente" en SSL / TLS. Hay algunos números "utilizados solo una vez" creados por el cliente, como el IV para el cifrado simétrico o el "cliente aleatorio" para el protocolo de enlace TLS. A continuación, asumiré que te refieres a cliente aleatorio en su lugar.
Cliente aleatorio se usa, por ejemplo, para generar el mensaje que el servidor debe firmar con la clave privada que pertenece al certificado del servidor como parte de la autenticación inicial del servidor. Si se repitiera el cliente al azar, algún atacante podría volver a reproducir una respuesta del servidor que contenía la firma apropiada y, por lo tanto, reclamar con éxito la propiedad de la clave privada, es decir, autenticarse como servidor.
Lea otras preguntas en las etiquetas attacks encryption tls openssl nonce