Tengo entendido que IIS tiene ssl v2 habilitado de forma predeterminada. Además, TLS 1.0, si está habilitado, permite al menos una vulnerabilidad importante conocida llamada "ataque de bestia".
Si los cifrados débiles y vulnerables están deshabilitados desde el servidor, ¿existen inconvenientes conocidos desde la perspectiva de la aplicación o los usuarios?
La desactivación de cifrados más débiles en el servidor puede evitar que los navegadores antiguos se conecten, lo cual es la razón principal por la que este tipo de cosas no se mantienen tan actualizadas como a los equipos de seguridad les gustaría.
Alentar a las organizaciones a actualizar los navegadores y a exigirles a sus clientes que realicen la actualización, es una buena práctica y ayuda a eliminar las versiones y los cifrados obsoletos.
Lea otras preguntas en las etiquetas cryptography tls iis