Oggi ho notato per esperimento che Google Chrome (69.0.3497.100) e Firefox (62.0.3) erano entrambi disposti a connettersi a un server che supportava solo TLS 1.0, anche se il supporto corrispondente era stato rimosso nelle impostazioni del browser.
In Wireshark potevo vedere il client che chiedeva TLS 1.2 e il server che rispondeva che solo una versione inferiore di TLS è supportata - il browser ha continuato felicemente a connettersi.
D'altro canto, MS Edge, dopo aver rimosso il supporto per TLS 1.0 e TLS 1.1 nelle impostazioni di Internet Explorer (non sono riuscito a trovare l'impostazione in Edge) si è rifiutato di connettersi a quel server. È stato collegato solo dopo aver aggiunto nuovamente il supporto TLS 1.0 e 1.1 o dopo aver abilitato TLS 1.2 nel server.
Quale comportamento è corretto?
E c'è un modo per non consentire a Chrome o Firefox di connettersi a un server che non supporta TLS 1.2? Di certo potrei provare a rimuovere il supporto a livello di sistema operativo, ma non sono sicuro di volerlo fare.