3.1.3. Fallback to Lower Versions (Rückfall auf niedrigere Versionen)

Clients, die nach Ablehnung höherer Protokollversionen durch den Server auf niedrigere Versionen des Protokolls "zurückfallen", DÜRFEN NICHT auf SSLv3 oder früher zurückfallen.

Begründung: Einige Client-Implementierungen kehren zu niedrigeren Versionen von TLS oder sogar zu SSLv3 zurück, wenn der Server höhere Versionen des Protokolls abgelehnt hat. Dieser Rückfall kann von einem Man-in-the-Middle (MITM)-Angreifer erzwungen werden. TLS 1.0 und SSLv3 sind deutlich weniger sicher als TLS 1.2, die von diesem Dokument empfohlene Version. Während Server mit nur TLS 1.0 noch recht verbreitet sind, zeigen IP-Scans, dass Server mit nur SSLv3 nur etwa 3% der aktuellen Webserver-Population ausmachen. (Zum Zeitpunkt der Erstellung dieses Dokuments wurde kürzlich in [RFC7507] eine explizite Methode zur Verhinderung von Downgrade-Angriffen definiert.)