Existe um lote de autorização, autenticação e handshaking em andamento, mesmo antes de qualquer dado do cliente ter sido enviado. Nas diferentes versões do protocolo, as coisas mudaram bastante. Se você precisar de um comportamento especial, use a versão apropriada.
A boa notícia: sua senha nunca é enviada por meio de uma conexão não segura nem é usada como chave para nada. Isso não seria possível de qualquer maneira, já que a máquina de autenticação nunca tem acesso a ela.
2\If username/password is right, RD client will then give a cation for warning the Client Certificate
Tem certeza de que não é a exibição do certificado de autenticação do servidor? Esse certificado certifica-se de que o servidor para o qual você está enviando suas credenciais é o servidor (ou serviço de gateway ou corretor) ao qual você se conectou em primeiro lugar (a julgar pelo nome [CN] no certificado).