Ich habe observatory.mozilla.org verwendet, um meine Website zu analysieren. Die Bewertung der Scan Summary war nur F, also habe ich die Webserver-Einstellungen basierend auf den Erklärungen auf der Website leicht angepasst, wie zum Beispiel:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "*"
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"

Daraufhin stieg die Bewertung auf A-. Wenn man in der Content-Security-Policy alle extern aufgerufenen Domains hinzufügt, sollte man wahrscheinlich ein A erreichen, aber das zu testen ist zu umständlich, also lasse ich es vorerst so.

Das Ergebnis der Scan Summary vom TLS Observatory war ebenfalls F. Mit dem Mozilla SSL Configuration Generator habe ich einige Parameter hinzugefügt:

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-CM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
#SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
#SSLHonorCipherOrder     on
#SSLCompression          off
#SSLSessionTickets       off

Das hat aber nicht geholfen, ich weiß nicht nicht, warum?

Ich muss das zu gegebener Zeit nochmal genauer untersuchen.