3.1.3. Fallback to Lower Versions (Ripiego a versioni inferiori)

I client che "ripiegano" a versioni inferiori del protocollo dopo che il server ha rifiutato versioni superiori del protocollo NON DEVONO ripiegare a SSLv3 o versioni precedenti.

Motivazione: Alcune implementazioni client tornano a versioni inferiori di TLS o persino a SSLv3 se il server ha rifiutato versioni superiori del protocollo. Questo ripiego può essere forzato da un attaccante man-in-the-middle (MITM). TLS 1.0 e SSLv3 sono significativamente meno sicuri di TLS 1.2, la versione raccomandata da questo documento. Mentre i server con solo TLS 1.0 sono ancora piuttosto comuni, le scansioni IP mostrano che i server con solo SSLv3 rappresentano solo circa il 3% dell'attuale popolazione di server Web. (Al momento della stesura, un metodo esplicito per prevenire gli attacchi di downgrade è stato definito di recente in [RFC7507].)