O problema aqui é que a parte Server name indication
da negociação TLS é feita após a própria conexão ter sido negociada. E o protocolo é negociado durante a negociação de conexão.
Pode ser possível impingir nenhum TLS v1.0 para esse host virtual se você configurar esse host virtual para um endereço IP no servidor que não tenha outros hosts virtuais associados a ele. Portanto, o nginx saberia com base no endereço IP que nenhum TLS v 1.0 é permitido.