A parte importante é configurá-lo para ser legível apenas pelo usuário root, portanto, root:root e permissão 400 são adequados.
A opção -des3 permite criptografar a chave privada com uma frase secreta. Fazer isso significaria que toda vez que um servidor web ou de e-mail for iniciado ou reiniciado, você deverá inserir a frase secreta. Isso seria impraticável para um certificado de servidor.
Se você não quiser usar uma frase secreta para proteger a chave privada, não acredito que haja algum motivo para usar -des3 .