Utilicé observatory.mozilla.org para analizar el sitio web y descubrí que la calificación del Scan Summary era solo una F. Así que, siguiendo las explicaciones del sitio, hice algunos ajustes en la configuración del servidor web, como:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "*"
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"

Como resultado, la calificación subió a A-. Si en Content-Security-Policy se añaden todos los dominios de llamadas externas, se debería poder obtener una A, pero hacer las pruebas es demasiado problemático, así que por ahora me conformaré con esto.

El resultado del Scan Summary de TLS Observatory también era una F; utilizando el Generador de configuración SSL de Mozilla añadí algunos parámetros:

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-CM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS             all -SSLv3 -TLSv1 -TLSv1.1     on          off       off

Tampoco hubo mejora, ¿no sé por qué? Cuando tenga tiempo, tendré que volver a revisarlo.