TLS negocia una versión de Ciphersuite y TLS para usar durante el protocolo de enlace. Confirma que el apretón de manos no fue manipulado y que la versión del conjunto de cifrado y TLS no se degradó utilizando los cifrados negociados, como se explica aquí . Sin embargo, esta verificación se basa en los cifrados negociados en el apretón de manos, por lo tanto, si los cifrados que el atacante eligió fueron lo suficientemente débiles para romperse rápidamente, también podrá enviar estos mensajes de confirmación.
Mi pregunta es, ¿por qué el servidor no usa su clave privada para firmar su versión de Ciphersuite y TLS (y la marca de tiempo de validUntil) para que el cliente pueda detectar los ataques de downgrade? Si bien el cliente no tiene la clave pública en ese momento, el cliente puede conservar la firma hasta que el certificado se valide y luego se verifique. ¿Por qué no lo hace el protocolo TLS?