基于Recommendations
原始研究:
https://www.openssl.org/~bodo/ssl-poodle.pdf
如果中间人 (MITM) 拦截通信,假设客户端的“Hello”与密码以清晰的方式传播,那么在降级期间,什么会阻止 MITM 删除 TLS_FALLBACK_SCSV 标志(从而使提议的机制效率低下)?
无论如何它并不是完全有效的(因为现有的 SSL3.0 浏览器会受到影响 - 否则它的支持可能会在服务器端被完全删除):只是鉴于 TLS_FALLBACK_SCSV 借口下的 Chrome 推广......