Apenas uma ideia:

Talvez uma página de destino HTTP simples que declara claramente que eles não poderão continuar com nada menos que o TLS 1.1, com um botão ou link nessa página que os levará ao site HTTPS.

Melhor ainda, apenas tenha algum JavaScript na página HTTP que tente extrair um recurso do seu servidor seguro. Se a imagem ou o que não aparecer, saberemos que o usuário não poderá usar seu site. Como esse cara: giantgeek.com/blog/?p=89

"Se você não visualizar a imagem abaixo, seu navegador não é compatível com este site ..."

Quero dizer que você não precisa explicar aos usuários o histórico de SSL e TLS, apenas diga "seu navegador não é compatível com este site" ou algo assim.

Editar 2015-09-22: Não mais "apenas hardware"

A Citrix atualizou seus NetScalers virtuais.

• Citrix Systems, Inc., 2015-06-03, Notas de Lançamento para o Build 57.7 do NetScaler 10.5 Release

  The NetScaler VPX appliance now supports TLS protocol versions 1.1 and 1.2.

Resposta antiga

Você pode fazer isso com um Citrix NetScaler. Mas somente com a versão HARDWARE . A versão da VM não suporta TLS1.1 e para cima.

A maneira de fazer isso é esta: Você desautoriza todos os TLS1.0 / SSL-suites. Então, tudo o que resta são as suítes introduzidas com o TLS1.1 e para cima.

Então você usa o recurso chamado "CipherRedirect". Isso permitirá uma conexão com uma codificação indesejada, mas redirecionará para uma página de erro personalizada.

• Documentação da Citrix: link
• Isso pode levantar bandeiras vermelhas durante as auditorias de segurança se o auditor não sabe sobre isso: "Falsos positivos nos scanners de segurança SSL quanto à força fraca de cifra no NetScaler", link