3.1.3. Fallback to Lower Versions (下位バージョンへのフォールバック)

サーバーがより高いバージョンのプロトコルを拒否した後に, より低いバージョンのプロトコルに "フォールバック" するクライアントは, SSLv3 以前にフォールバックしてはなりません。

理由: サーバーがより高いバージョンのプロトコルを拒否した場合, 一部のクライアント実装は TLS のより低いバージョンまたは SSLv3 にまで戻ります。このフォールバックは中間者 (MITM) 攻撃者によって強制される可能性があります。TLS 1.0 と SSLv3 は, この文書が推奨するバージョンである TLS 1.2 よりも大幅に安全性が低くなっています。TLS 1.0 のみのサーバーはまだかなり一般的ですが, IP スキャンでは SSLv3 のみのサーバーは現在の Web サーバー人口の約 3% に過ぎないことが示されています。(執筆時点では, ダウングレード攻撃を防ぐための明示的な方法が最近 [RFC7507] で定義されました。)