HSTS me permite forzar a los clientes a que se conecten a mi sitio web mediante HTTPS, pero no especifica la versión de SSL, TLS ni los cifrados que estoy prohibiendo.
¿Existe alguna alternativa o extensión de HSTS que me permita especificar
No : no existe tal mecanismo y es poco probable que se desarrolle uno.
Primero un resumen: HSTS permite que un servidor obligue a los clientes a usar HTTPS para un dominio en particular. Sin HSTS, puedo habilitar SSL en mydomain.com, pero existe el riesgo de que un sitio de un atacante pueda secuestrar un cliente (por ejemplo, por envenenamiento de DNS), y de que sirva contenido HTTP simple sin autorización para mydomain.com. La buena conciencia del usuario siempre ha podido prevenir esto (verifique el candado), pero el punto de HSTS es que brinda protección incluso para usuarios novatos.
Cuando se trata de versiones TLS, como dice Terry Chia, puedes decidir qué versiones quieres que admita tu servidor. Es posible que un servidor no autorizado intente suplantar su servidor y utilice versiones TLS que no haya habilitado. Pero tendrían que tener un certificado para su dominio, o algún tipo de vulnerabilidad en una versión antigua de TLS que están explotando. Teniendo en cuenta que las vulnerabilidades del protocolo TLS publicadas son problemas sutiles que no permitirían la suplantación de identidad sin un certificado, nadie está interesado en desarrollar dicho sistema.
Lea otras preguntas en las etiquetas tls hsts threat-mitigation content-security-policy