Si mi servidor solo tiene habilitados los conjuntos de cifrado que están definidos por TLSv1.2, eso obliga a un cliente a usar TLSv1.2, o bien no podrá conectarse o la conexión puede retroceder a TLSv1.1 o 1.0 y aún negociar el cifrado TLSv1.2? Entiendo que los modos de bloque GCM son solo TLSv1.2 pero no están seguros de los demás.
Obliga a los clientes que informan que admiten el uso de TLSv1.2 y hace que todas las demás conexiones de clientes, aquellos que solo admiten un máximo de TLSv1.0 o TLSv1.1, fallen.
En este punto, a menos que sepa exactamente quiénes son sus clientes y que lo hagan, de hecho, son compatibles con TLSv1.2, (si esto se encuentra en cualquier entorno de Intranet empresarial, por ejemplo) no recomendaría esta configuración. Hay una gran parte de Internet que aún no tiene el nivel de soporte requerido para que esto no resulte ser un desastre.
Lea otras preguntas en las etiquetas encryption tls cipher-selection