OCSPナンスをサポートしないWindowsクライアントの緩和策

ルーク、Chromeは使用する他のプラットフォームでCryptoAPIを使用します [〜＃〜] nss [〜＃〜] しかし、NSSの失効プラットフォームは「高速」ではなく、ナンスも（デフォルトでは）送信しません-実際には、すべてのブラウザーの中で最もパフォーマンスが低く、堅牢な失効実装です。

NSS失効動作には、近い将来これを修正する予定の保留中の改善がたくさんあります。

私たちは、インターネット上のレスポンダーの大きなプールの1つである当社の製品にOCSPサービスを提供しています。ノンスで取得するリクエストの数は0に近づきます（ほとんどありません）。

makerofthings-Javaアプリケーションはそれぞれ異なる動作をします。Javaを取得して、ナンスを送信したり、要求に署名したりすることができます。すべてはアプリケーション次第です。

元のリクエストに関しては、時間に基づいてリプレイに対する保護が制限されています（ http://www.ietf.org/rfc/rfc5019.txt のセキュリティに関する考慮事項を参照）。ノンスをサポートするには、OCSP応答に動的に署名する必要もあります。Symantecは通常の負荷で1日に30億のOCSP応答を発行します。これは、キャッシュされた応答の場合です。動的署名を導入すると、（特にグローバルに）操作に数桁のコストがかかるだけでなく、わずかなリソース消費DOSにさらされることになります。

ナンスは、署名されたリクエストも機能する可能性がある企業で最も理にかなっています。ナンスを使用する場合は、Axwayデスクトップバリデーターなどのウィンドウに失効プロバイダーをインストールすることを検討する必要があります。

@rmhrisk