Rook, Chrome su Windows utilizza CryptoAPI su altre piattaforme che usano NSS ma la piattaforma di revoca di NSS non è "t" Più veloce "e non invia nonce (di default) - è in realtà l'implementazione di revoca meno performante e robusta di tutti i browser.
Ci sono un sacco di miglioramenti in sospeso al comportamento di revoca dell'NSS che dovrebbero risolverlo nel prossimo futuro.
Offriamo servizi OCSP per i nostri prodotti, uno dei più grandi pool di responder su Internet; il numero di richieste che otteniamo con approcci nonces 0 (quasi nessuno).
makerofthings - Le applicazioni Java si comportano ognuna in modo diverso, è possibile ottenere Java per inviare nonces, firmare richieste, ecc; è tutto per l'applicazione.
Come per la richiesta originale, c'è una protezione limitata per i replay in base al tempo (vedi considerazioni sulla sicurezza in - link ). Il supporto di nonces richiede anche la firma dinamica delle risposte OCSP, Symantec rilascia 3 miliardi di risposte OCSP al giorno in condizioni di carico normale e questo è con le risposte memorizzate nella cache. L'introduzione della firma dinamica sarebbe sia di diversi ordini di grandezza più costosi da gestire (soprattutto a livello globale), ma anche un'esposizione ad un banale DOS di consumo delle risorse.
Le nonce hanno più senso nell'azienda in cui anche le richieste firmate hanno una possibilità di funzionare, se vuoi usarle dovresti considerare l'installazione di un provider di revoca in finestre come il validatore del desktop Axway.
@rmhrisk