A resposta não é postada, então pensei em acompanhar o resto ...
Para desativar o TLSv1.0 e ativar o TLSv1.1 e o TLSv1.2, basta adicionar essas duas linhas e alterar a terceira:
ssl_tlsv1_2=YES
ssl_tlsv1_1=YES
ssl_tlsv1=NO
Estou tentando proteger minha infraestrutura para atender ao padrão PCI-DSS usando securitymetrics.com. O padrão exige o uso do mínimo de TLS 1.1 (com uma cifra CBC). O TLS 1.0 não é permitido.
Enquanto protegia o ftp (vsftpd), eu desabilitei sslv2 e sslv3, mas não consegui bloquear o TLS 1.0 sem desabilitar o TLS 1.1 e o TLS 1.2. O arquivo de configuração tem a opção ssl_tlsv1
que pode ser definida como SIM ou NÃO, mas não vejo nenhuma maneira para distinguir entre 1.0 e versões posteriores.
Como posso ativar apenas o TLS 1.1 e melhor?
A resposta não é postada, então pensei em acompanhar o resto ...
Para desativar o TLSv1.0 e ativar o TLSv1.1 e o TLSv1.2, basta adicionar essas duas linhas e alterar a terceira:
ssl_tlsv1_2=YES
ssl_tlsv1_1=YES
ssl_tlsv1=NO
Para limitar VSFTPD ao TLS 1.2, tente definir: ssl_ciphers = TLSv1.2
Não sei se existe uma maneira fácil de limitar a conexão ao TLS 1.1 e 1.2.