A organização para a qual trabalho tem muitos servidores que rodam Linux.
Recentemente, fomos encarregados de garantir que o TLS 1.2 seja usado para todas as conexões de saída para todos os nossos aplicativos, independentemente da plataforma de desenvolvimento em que nossos aplicativos são escritos, o que varia bastante (Ruby/Node/Java/PHP)
Existe uma maneira no nível do sistema de forçar tudo a usar o TLS 1.2?
No âmbito do sistema? Não, porque não há configuração TLS centralizada no Linux (intencionalmente) e, além disso, você provavelmente tem pelo menos duas implementações TLS em cada sistema (OpenSSL ou LibreSSL com certeza, e provavelmente GnuTLS também).
Auditar tudo é, infelizmente, a única opção real aqui. No entanto, depois de auditar as coisas para uma determinada plataforma de desenvolvimento, deve ser muito fácil verificar outros aplicativos nessa plataforma (porque agora você sabe como é uma sequência de configuração de conexão de trabalho).
Considerando uma conexão específica para um serviço específico, você provavelmente poderia configurar algo para garantir que qualquer coisa abaixo de TLSv1.2 seja rejeitada.
Mas você não pode fazer isso no nível de todo o sistema. Só não se aplica a sistemas genéricos (desktops, servidores, etc). Cada pedaço de código que se conecta a um serviço TLS pode usar uma das várias bibliotecas compartilhadas no sistema, pode usar sua própria biblioteca compartilhada, pode usar código vinculado estaticamente ou compilado, etc.
No entanto, se você também tiver a tarefa de garantir que seus servidores aceitem apenas conexões TLSv1.2, certamente poderá fazer isso, pois controla todos os seus terminais de serviço - normalmente servidores da web: