Si siguiendo esa guía, utilizó esta línea en su configuración de nginx:
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
Deberías reemplazar esa línea con
ssl_ciphers '-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES';
luego reinicie nginx e intente la prueba de Qualys nuevamente (haga clic en borrar caché en la página de prueba de Qualys si es necesario). Puede comparar los resultados de las conexiones simuladas por diferentes navegadores y motores de búsqueda para ver que nada cambió, excepto que perdió la capacidad de Internet Explorer en Windows XP para conectarse. Eso no es una pérdida, es completamente inseguro.
En el futuro, cuando actualice Ubuntu 14.04 a un sistema operativo de servidor que viene con una versión de openssl que es compatible con ChaCha20Poly1305, tendrá que ajustar los ssl_ciphers. Esto puede ser tan pronto como se publique Ubuntu 18.04 dentro de un año. Definitivamente, tendrá que ajustarse cuando cambie a los certificados Ed25519, lo que llevará algunos años (los certificados RSA 2048 probablemente se admitirán durante mucho tiempo, y Ed25519 no estará disponible durante al menos un año, pero eventualmente todos lo harán. actualizar).