In seguito all'attacco di POODLE, molti siti Web hanno abbandonato il supporto per SSLv3. Ma alcuni client ancora in uso relativamente comune a partire da maggio 2015 avviano ancora l'handshake con un messaggio Clientvello SSLv2. Ad esempio, openssl 0.9.8 fornito con Mac OS X 10.10 e Java 6, anch'esso ancora in uso comune almeno su Mac OS X.
Oracle raccomanda che i server che utilizzano il JSSE terminino SSL mantiene abilitato lo pseudo-protocollo SSLv2Hello, che a sua volta consente un handshake SSLv2 ClientHello, per compatibilità con questi client. (Vedi le righe della tabella "Sviluppatori che utilizzano API JSSE - Server").
Sebbene i client che utilizzano SSLv2 ClientHello siano vulnerabili agli attacchi di downgrade del protocollo, ciò vale anche per i client che utilizzano versioni successive di handshake, a meno che sia il client che il server supportino TLS_FALLBACK_SCSV. E fintanto che il server ha disabilitato SSLv2 e SSLv3, l'handshake non può completare con un protocollo inferiore a TLSv1. E sospetto che i client che supportano TLSv1.1 o versioni successive non utilizzino comunque SSLv2 ClientHello, quindi mi sembra una configurazione ragionevole.
Ci sono dei vettori di attacco conosciuti che mi sono sfuggiti, il che renderebbe sconsigliabile mantenere abilitato il supporto SSLv2 ClientHello?