Müssen Händler das TLS auch auf ihren Websites mit Kundenkontakt frühzeitig auslaufen lassen?

Ja. Die Nutzung von TLS 1.0 zum Schutz von Zahlungsdaten oder Zahlungsseiten ist seit dem 30. Juni 2018 nicht mehr konform nach PCI DSS.