Ho letto l'RFC 5746 sull'estensione della rinegoziazione sicura TLS. Tuttavia, non capisco come risolve il problema.
Client e server devono includere il parametro verify_data dall'handshake precedente nei messaggi ClientHello e ServerHello. La correzione protegge contro un attaccante che è un MITM attivo. Non è possibile che questo aggressore includa solo il suo verify_data nel ClientHello che intercetta dal client (ricorda, questo è tutto senza firma, lo scambio di chiavi sta succedendo) e spoglia il parametro verify_data dal ServerHello con cui il server risponde? In questo modo, il server penserà che sia in corso una rinegoziazione sicura, mentre il client vedrà un campo renegotiated_connection vuoto che corrisponde al fatto che sta avviando una nuova connessione.
Il mio ragionamento deve essere sbagliato, qualcuno può indicarlo?