Hoy, por experimento, noté que Google Chrome (69.0.3497.100) y Firefox (62.0.3) estaban dispuestos a conectarse a un servidor que solo era compatible con TLS 1.0, aunque la compatibilidad correspondiente se eliminó en la configuración del navegador.
En Wireshark, pude ver que el cliente pedía TLS 1.2 y que el servidor respondía que solo se admite una versión menor de TLS. El navegador continuó felizmente conectado.
Por otra parte, MS Edge, después de eliminar la compatibilidad con TLS 1.0 y TLS 1.1 en la configuración de Internet Explorer (no pude encontrar la configuración en Edge) se negó a conectarse a ese servidor. Solo se conectó después de agregar nuevamente la compatibilidad con TLS 1.0 y 1.1 o después de habilitar TLS 1.2 en el servidor.
¿Qué comportamiento es correcto?
¿Y hay una manera de no permitir que Chrome o Firefox se conecten a un servidor que no es compatible con TLS 1.2? Por supuesto, podría intentar eliminar el soporte en el nivel del sistema operativo, pero no estoy seguro de querer hacerlo.