新姿势讨论下：机房是如何实现将 TLS1.2 协议降级为 TLS1.0 协议的？

今天在为客户机（ IP 是 103.219.. 段的香港节点）部署 SSL 证书的时候发现一个非常奇怪的问题：

使用 Windows2008 IIS 配置 SSL 证书，修改注册表禁用了 TLS1.0 开启了 TLS1.2，通过 443 端口检测时 仅检测到支持 TLS1.0 协议，苹果设备无法访问。

Q1: 于是怀疑是因为 TLS1.2 在 Windows2008 上开启不成功，换用 IISCrypto 启用 TLS1.2，重启服务器，结果一样。

Q2：经过谷歌，部分教程说道升级 Windows 版本可能会解决，以试经历了 Windows2008->Windows2012，使用 IISCrypto 启动 TLS1.2，禁用 TLS1.2，结果依然一样。

期间还更换了操作系统为 CentOS7+Nginx 开启 TLS1.2 停用 TLS1.0，结果依然一样。

Q3：猜想机房网络是否被污染？机房 NAT 中修改了 TLS 通信？于是同时用 443 端口 和 8443 端口监听 SSL 站点。测试发现 443 端口上依然是 TLS1.0 协议并且证书链正常，证书状态正常，SSLLABS 评级 F。测试 8443 端口访问，证书状态正常，可检测到 TLS1.2 启用，可检测到 TLS1.0 已经禁止，SSLLABS 评级 A。

那么问题来了？机房的技术现在真的这么强大了？是否我们所有的 HTTPS 流量现在都被机房监控的？ 这样真的好么？

可否由更有效的方法防止？