Adicionamos chaves de registro para forçar o pool de aplicativos .NET ao TLS 1.2. Isso permitiu que um aplicativo falasse com o Salesforce depois que o SF emitiu uma atualização crítica desabilitando o TLS 1.0. As chaves do registro se aplicam a todo o servidor, em oposição a um único site, infelizmente. A construção quebrou pelo motivo que você indica acima. Isso funcionou para nós:
Fazendo o WebDeploy funcionar depois de desativar as inseguras Cifras, como SSL 3.0 e TLS 1.0
Trecho:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001