Comentário convertido em resposta:
Could you try manually blacklisting that SHA-1 cert on the IIS by moving it to the machine's "untrusted" cert store?
Como uma reflexão tardia: eu estava curioso para saber se isso funcionaria. E agora acontece que isso acontece. (Mas parece um pouco rápido e sujo. Oh bem.)