Se seguendo questa guida hai usato questa linea nella configurazione di nginx:
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
Dovresti sostituire quella linea con
ssl_ciphers '-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES';
quindi riavvia nginx e prova di nuovo il test Qualys (fai clic sulla cache trasparente nella pagina di test di Qualys se necessario). Puoi confrontare i risultati per le connessioni simulate da diversi browser e motori di ricerca per vedere che nulla è cambiato, tranne che hai perso la capacità di connessione di Internet Explorer su Windows XP. Non è una perdita, è completamente insicuro.
In futuro, quando esegui l'aggiornamento da Ubuntu 14.04 a un sistema operativo server fornito con una versione di openssl che supporta ChaCha20Poly1305, dovrai regolare ssl_ciphers. Questo può accadere non appena Ubuntu 18.04 verrà rilasciato tra un anno. Dovrai sicuramente adattarti quando passerai ai certificati Ed25519, che impiegheranno alcuni anni (i certificati RSA 2048 saranno probabilmente supportati per un tempo molto lungo, e Ed25519 non sarà disponibile per almeno un anno, ma alla fine tutti lo faranno l'aggiornamento).