https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html

Рекомендовано:

1. выбрать следующий CipherStrenghth:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

1. Я сделал себе еще более жесткий. Было

   SSLCipherSuite HIGH:!SSLv3:!kRSA

   Стало

   SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECD
   HE-RSA-AES256-SHA384

2. И использовать более мощный KeyExchange механизм. Рекомендуется - при создании серта, но можно и после.

   cd /etc/ssl/
   openssl dhparam -out dhparam.pem 4096

Оно минут 10-20 будет делать этот параметр? после чего его надо воткнуть в конфиг extra/httpd-ssl.conf следующим блоком:

SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparam.pem"

(не помогло, надо переделывать серт)