Este foi um tipo de erro em ssl-enum-ciphers
. Pode ser muito difícil lidar com todas as implementações diferentes do TLS e, nesse caso, o script interpretou uma mensagem de alerta com uma versão TLS incompatível como uma rejeição da versão do TLS que o script tentou. Eu confirmei com outro sistema na Internet que esse comportamento não era na verdade uma rejeição da versão do protocolo, mas sim uma rejeição dos pacotes de criptografia oferecidos. Para tornar as coisas mais complicadas, se uma cifra for suportada em uma versão (TLS 1.1), mas não em outra (TLS 1.2), este servidor apenas trocará as versões para a que suporta a cifra, mesmo que essa versão de protocolo não fosse oferecida por o cliente!
Eu fiz algumas alterações no script que devem lidar com esses casos estranhos. A varredura deste servidor leva mais tempo do que um mais compatível com RFC, mas funciona agora. Você pode obter o script atualizado através do link Download na página do NSEdoc que eu criei acima, e ele será incluído na próxima versão do Nmap.