Un comportamiento típico de los clientes TLS tolerantes (es decir, los navegadores) es que primero intentan una conexión con la mejor versión de protocolo TLS que pueden. Si esto falla debido a errores de protocolo de enlace, cierre del servidor o errores extraños similares, volverán a intentarlo con una versión más baja del protocolo TLS con la esperanza de que traten con un servidor defectuoso que solo puede tratar adecuadamente las versiones más bajas de TLS.
Dado que este comportamiento podría ser utilizado incorrectamente por un hombre activo en el medio para imponer una rebaja a una versión TLS más baja y menos segura para hacer uso de posibles inseguridades en esta versión. Por lo tanto, los clientes modernos o bien ya no hacen tal degradación por más tiempo o agregan el seudo cifrado TLS_FALLBACK_SCSV para indicar que esta no es la mejor versión de protocolo que podrían ofrecer. Un servidor que entiende este pseudocifrado puede, por lo tanto, detectar si algún hombre en el medio intentó una rebaja de la versión TLS.
Un mensaje finalizado no ayudará en este escenario porque detectará modificaciones del protocolo de enlace actual, pero no bajará la calificación TLS debido a una conexión cercana dentro del protocolo de enlace que fue causada por un hombre en el centro.