Depois de abrir um caso de suporte, vejo que fui enganado pela documentação da Red Hat e deveria ter lido a página de manual mais de perto:
# man restorecon
...
If a file object does not have a context, restorecon will write the
default context to the file object's extended attributes. **If a file
object has a context, restorecon will only modify the type portion of
the security context. The -F option will force a replacement of the
entire context.**
...