Effectivement LaFibre.info utilise OpenSSL 1.0.2g , car je n'ai pas encore fait la mise à jour vers Ubuntu 18.04 (pb de compatibilité de SMF avec PHP 7.2)
J'ai par contre d'autres sites web hébergés avec Ubuntu 18.04 et donc OpenSSL 1.1.0g et j'ai la même suite de Cipher Suites et le même problème avec un classement intermédiaire.
J'ai pourtant tenté de reproduire exactement la configuration de https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.29&openssl=1.1.0g&hsts=yes&profile=modern
( Apache 2.4.29 | modern profile | OpenSSL 1.1.0g )
C'est le cas de https://iperf.fr/
Hola
J'avais aussi classement Intermédiaire par le TLSObservatory malgré une cipher suite proche de celle de Moderne, sans trop saisir pourquoi... J'ai aujourd'hui passé mon certificat TLS via Let's Encrypt de RSA vers
ECDSA : le TLS Observatory m'a classé
Moderne ! J'utilise libssl1.1.1, donc propose
ChaCha20+Poly1305 ou TLS1.3, mais ni l'un ni l'autre influent, c'est bien le certificat.
Pour obtenir les certificats via ACME, je n'utilise pas le client
certbot, mais
acme.sh (ECDSA facile, on peut notamment en automatiser le renouvellement) ; pour garder WinXP+Chrome dans
SSLLab, je génère aussi un RSA plus classique, j'indique les deux dans la configuration du vhost. Le certificat intermédiaire de Let's Encrypt reste un RSA dans tous les cas pour encore
quelques temps, ça fait grincer certains tests (HTBridge).
Ma SSLCipherSuite a dû évoluer pour virer ECDSA+AESCCM, peu présent côté clients :
SSLCipherSuite HIGH+ECDH+CHACHA20:HIGH+ECDH+AESGCM:HIGH+ECDH+AES:!SHA:!AESCCM pour TLS1.2 seul,
SSLCipherSuite HIGH+ECDH+CHACHA20:HIGH+ECDH+AESGCM:HIGH+ECDH+AES:+SHA:!AESCCM pour TLS1.0 à 1.2.