Извиняюсь,Error code: ssl_error_no_cypher_overlap
перепутал с
Error code: SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED.
Но дальнейший анализ показал, что не очень-то я и сильно ошибся.
Всё же гораздо информативней проверять тут
https://ssldecoder.org/?host=www.rosalinux.ru
Из чего сразу видно отсутствие HSTS и OCSP Stapling-а, но дело не в этом, пролистав ниже видим.
1 warning!
SHA-1 certificate. Upgrade (re-issue) to SHA-256 or better.
Signature Algorithm sha1WithRSAEncryption
Во в этом-то и проблема, возможно некоторые браузер отшивают абсолютно все сертификаты с SHA1, что есть верно!
И посмотрите как должно быть.
https://ssldecoder.org/?host=ilya.pp.ua
Никакой красноты, всё чёрно-белое-зелёное. :-)
А тут и вовсе я понятия не имею, как получить результат ниже A+, даже если я OCSP Stapling отключаю, у меня всё равно A+
https://www.ssllabs.com/ssltest/analyze.html?d=ilya.pp.ua
И всё же я считаю баланс безопасности/производительности у меня не оптимальным.
Для этого мне нужен приватный ключ не rsa 4096, а ec25519, но это Let's Encrypt, да и не один CA пока не предоставляет. :-(
P.S. Прошу всех анонимов и прочих троллей удержаться от комментариев по поводу того, что это за сайт. Это мой талисман, самый первый сайт, который я сверстал читая самоучитель лет 10 назад и с тех пор это мой талисман на основном домене. :-)
Хотите покритиковать, критикуйте мой текущий, над которым я сейчас работаю.https://aliya.ilya.pp.ua (Кстати при заходе именно по этому URL с хоста автоопределяет язык предпочтения пользователя браузера, что не часто вижу в современный реалиях)