Der Weg zu einem A-Rating bei SSL-Labs ist steinig. Wie hier und da und dort schon geschrieben: Kompatibilität und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen:

SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

wenn man den Key richtig erstellt hat – z.B. damit:

openssl req -new -nodes -sha256 -keyout server.key -out server.csr -newkey rsa:4096

Was SSL Labs dann noch zu mockieren hatte, war die Key Chain, die unsichere Elemente enthielt und zum folgenden Rating führte:

Die Keychain lässt sich jedoch einfach umbauen: Ein

wget https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem

holt die intermediären Zertifikate im richtigen Format an Bord. Und die folgenden Zeilen in der Apache default-ssl.conf

SSLCertificateChainFile /etc/apache2/ssl/startssl/sub.class1.server.sha2.ca.pem
SSLCACertificateFile /etc/apache2/ssl/startssl/ca.pem # unverändert

zusammen mit einem

service apache2 restart

schalten diese scharf. Dann erreicht man das folgende Rating bei SSL Labs:

Hinweise und Links hier im StartSSL Forum.

In den Weihnachtsferien kommen dann die anderen Domains mit dickeren Keys dran. Bis dahin ist schlicht Land unter und außerdem muss ich bei StartSSL warten, bis das Zertifikat fast abgelaufen ist, will ich keinen revocation Prozess beginnen, der teuer ist.