การป้องกันการโจมตีย้อนกลับเวอร์ชันใน TLS 1.2?

ย้อนกลับ โดยการปลอมแปลงการแลกเปลี่ยน ClientHello/ServerHello ตรวจพบและบล็อกโดย Finish ในทุกเวอร์ชันของ TLS สำหรับการแลกเปลี่ยนคีย์ RSA แบบธรรมดา เวอร์ชันของไคลเอ็นต์จะถูก 'ลักลอบนำเข้า' เพิ่มเติมใน ความลับพรีมาสเตอร์ที่เข้ารหัส ซึ่งอนุญาตให้มีการตรวจจับก่อนหน้านี้ - แต่ตั้งแต่ต้นปี 2010 (วัยรุ่น) ธรรมดา RSA ส่วนใหญ่เลิกใช้หรือทิ้งเพราะไม่ได้ให้ความลับในการส่งต่อ สำหรับห้องสวีท (ทั้งหมด) ที่ใช้การรับรองความถูกต้องไคลเอ็นต์ใน TLS 1.0-1.2 ลายเซ็นไคลเอ็นต์ยังครอบคลุมการถอดเสียงรวมถึงเวอร์ชัน ดังนั้นจึงตรวจจับการย้อนกลับได้ แต่การใช้การรับรองความถูกต้องไคลเอ็นต์เป็นทางเลือกและหาได้ยาก

ลดระดับ โดยการทำให้แฮนด์เชคเวอร์ชันที่สูงกว่าล้มเหลว เพื่อให้ไคลเอนต์ถูกชักจูงให้ใช้ (และยอมรับ) เวอร์ชันที่ต่ำกว่าแตกต่างกันไป

TLS 1.0-1.2 ระบุการตรวจสอบกับการดาวน์เกรด เป็น SSLv2 โดยการตั้งค่าไบต์ต่ำของความลับของพรีมาสเตอร์ก่อนการเข้ารหัสในการแลกเปลี่ยนคีย์ธรรมดา RSA (ซึ่งเป็นการแลกเปลี่ยนคีย์เดียวใน SSLv2) นี่คือ E.2 ใน RFC 2246 และ 4346 และ E.3 ใน RFC 5246. แต่ในช่วงกลางถึงปลาย เมื่อ 1.1 และ 1.2 ถูกนำมาใช้ โดยทั่วไปแล้วทุกคน/ทุกอย่างจะทิ้ง SSLv2 และ RFC6176 ก็ห้ามอย่างเป็นทางการในปี 2554 ดังนั้นสิ่งนี้จึงกลายเป็นข้อกังขา (Java JSSE จนถึง j7 ในปี 2011 ใช้ 'การเปลี่ยนผ่าน' โดยค่าเริ่มต้น สวัสดีรูปแบบ จาก SSLv2 แต่ JSSE ไม่เคยรองรับโปรโตคอล SSLv2 จริง)

สำหรับ TLS 1.0-1.2 อาร์เอฟซี 7507 ในปี 2558 กำหนด SCSV เพื่อตรวจหาการปรับลดรุ่น (และอ้างอิงใน RFC8446 ซึ่งรวมรหัสแจ้งเตือนไว้ด้วย)