Primeiro, adicione "-sha256" ao seu comando CSR, para garantir que você esteja usando SHA256 em vez dos hashs SHA1 ou MD5 menos seguros do seu certificado.
Em segundo lugar, verifique se o servidor está configurado para usar apenas TLS ou superior. Altere as linhas de configuração de SSL (em /etc/httpd/conf.d/ssl.conf
, os arquivos do seu site ou onde quer que sua distro esteja armazenando-as) para ser, no mínimo, restritivo:
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
Para mais informações, há um documento especificando os algoritmos e pontos strongs mais baixos aceitáveis no CA / Navegador Fórum , no Apêndice A. Esse link provavelmente se tornará desatualizado à medida que novos padrões forem adotados, portanto fique de olho em seus Documentos de requisitos de linha de base para atualizações.