3.1.3. Fallback to Lower Versions (回退到较低版本)

在服务器拒绝更高版本协议后 "回退" 到较低版本协议的客户端绝对不能回退到 SSLv3 或更早版本。

理由: 如果服务器拒绝了更高版本的协议, 某些客户端实现会回退到较低版本的 TLS 甚至 SSLv3。这种回退可能被中间人 (MITM) 攻击者强制执行。TLS 1.0 和 SSLv3 的安全性明显低于本文档推荐的版本 TLS 1.2。虽然仅支持 TLS 1.0 的服务器仍然相当常见, 但 IP 扫描显示, 仅支持 SSLv3 的服务器仅占当前 Web 服务器总数的约 3%。(在撰写本文时, 最近在 [RFC7507] 中定义了防止降级攻击的明确方法。)