В руководствах по безопасности (PCI-DSS, NIST, www.ncsc.gov.uk, французский ANSSI ..) говорится, что TLSv1.2 должен быть разрешен только и TLSv1.0 TLSv1.1 должен быть деактивирован.
Нет руководства по безопасности, в котором бы содержалась какая-либо явная рекомендация для TLSv1.3.
Насколько я понимаю, TLSv1.3 не должен быть активирован для производственной системы, пока он не будет явно рекомендован руководством по безопасности, которое управляет областью деловой активности.
Это правильно?