Bien sûr que c'est important!
Il faut interdire l'usage de MD5-RSA, point final.
Et ça fait plus de dix ans qu'on le sait.
Leur racine ne signe qu'une seule clé (la clé privée CA est stocké hors-ligne): le certificat intermédiaire.
Les possibilités de collision sont pratiquement inexistante.
Par contre, il faut que le certificat intermédiaire utilise autre chose que md5.
Pourquoi crois-tu qu'il reste des CA avec une racine en md5 valide dans le CA Store de Windows et Mozilla NSS ?
Je ne suis pas certain de l'intérêt de spécifier "!aNULL".
Cela ne fait pas de mal de spécifier explicitement ce qu'on refuse (ici du TLS sans authentification - miaam le MITM).
@vivien: rajoute le SSLHonorCipherOrder On et relance Apache.