3.1.3. Repli vers des versions inférieures

Les clients qui "se replient" vers des versions inférieures du protocole après que le serveur ait rejeté des versions supérieures du protocole NE DOIVENT PAS se replier vers SSLv3 ou antérieur.

Justification: Certaines implémentations clientes reviennent à des versions inférieures de TLS ou même à SSLv3 si le serveur a rejeté des versions supérieures du protocole. Ce repli peut être forcé par un attaquant homme-du-milieu (MITM). TLS 1.0 et SSLv3 sont significativement moins sécurisés que TLS 1.2, la version recommandée par ce document. Bien que les serveurs TLS 1.0 uniquement soient encore assez courants, les analyses IP montrent que les serveurs SSLv3 uniquement ne représentent qu'environ 3% de la population actuelle de serveurs Web. (Au moment de la rédaction, une méthode explicite pour prévenir les attaques de rétrogradation a été définie récemment dans [RFC7507].)