SSL heisst nicht unbedingt sicher – Heartbleed, Poodle und Co. sei Dank. Auf der Qualys-Website kann man seinen Webserver auf Sicherheitslücken testen lassen.
Es gibt einige Anleitungen, eine A+ Bewertung zu erhalten. Die sind aber teilweise veraltet oder nur für Apache 2.4.
Unter Debian Wheezy habe ich mit folgenden Einstellungen mit Apache 2.2 eine A+ Bewertung erhalten:
ssl.conf: SSLProtocol all -SSLv3 -TLSv1.1 SSLHonorCipherOrder On SSLCipherSuite \ DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA: \ ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA: \ ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-SHA SSLCompression Off default-ssl.conf: (VirtualHost) SSLOptions +StrictRequire Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Für die Header-Direktive im VirtualHost muss natürlich mod_header in Apache aktiviert werden.
a2enmod headers
Ergänzung: Wer keine Java-Clients unterstützen muss, kann die letzten 3 Cipher auch weglassen. Windows XP mit Internet Explorer 6/8 werden nicht unterstützt. Außerdem sollten sämtliche Betriebssystem-Updates installiert sein. Bei mir wurde mit der neuesten openssl-Version erst TLS_FALLBACK_SCSV aktiviert.