Entiendo que los datos confidenciales no deben almacenarse en caché (es decir, no desea almacenar en caché un archivo HTML con todos los detalles de su cuenta bancaria), pero hay algunas cosas que los sitios protegidos con HTTPS deberían poder almacenar en caché (Javascript , CSS, imágenes, etc). Tomcat no parece permitir que los desarrolladores definan explícitamente que un archivo se pueda almacenar en caché una vez que se haya habilitado SSL / TLS, y entiendo que incluso si lo hicieran, el navegador del usuario solo usa un caché en memoria para las sesiones HTTPS y descarta todo una vez que la sesión termina. Con todo lo relacionado con la Web 2.0 que está sucediendo, me parece que los operadores del sitio estarían interesados en esta capacidad para reducir las cargas en sus sitios (así como el tiempo de carga de la página) mientras mantienen la "barra verde" en el navegador del usuario que proporciona todos nosotros, un sentimiento cálido y borroso en el interior.
ACTUALIZACIÓN: se eliminaron los bits sobre la validación de los archivos almacenados en caché con un HMAC, ya que sería inútil. Si el atacante está explotando alguna forma de colisión de hash, entonces no importa si el hash se calcula con una clave secreta o no.