Il client invia al server le sue suite di crittografia di supporto e il server sceglie quello più alto in cui supporta.
If we want to ensure that connections use TLS version 1.1 or greater,
is it sufficient to set one side of the connection to require TLS
version 1.1 or greater or do both sides of the connection need to be
set to require TLS version 1.1 or greater?
Assicurarsi che il server non supporti protocolli inferiori a TLS 1.1 e quindi tutte le connessioni che tentano meno di TLS 1.1 verranno rifiutate dal server. Tuttavia, qualsiasi client che non supporta TLS 1.1 o versione successiva non sarà in grado di connettersi affatto.
In other words, if Bob requires TLS 1.1 but Alice will accept TLS 1.0
(or SSL), assuming Eve can intercept the connection request from Alice
to Bob, can Eve exploit the weaknesses of TLS 1.0 to obtain
information from Alice that would allow her to create a TLS 1.1
connection to Bob?
Ci sono attacchi che vengono chiamati attacchi "downgrade" e in poche parole alterano le suite di cifratura dei client per indurre il server a pensare che il client supporti solo suite e protocolli di cifratura più vecchi (più deboli).
Assicurati che il server non supporti suite e protocolli di crittografia deboli e quindi il client (o l'attaccante) non può effettuare il downgrade di un client a uno più debole poiché il server lo rifiuterà come una suite di crittografia in cui non supporta.