Quanto ao openssl.conf, ele tem uma diretiva SSLCipherSuite e, em caso afirmativo, ele é comentado? Pode haver um problema de "mesclagem".
Olhando para a diretiva SSLCipherSuite, vejo os seguintes problemas (que podem ou não fazer parte do problema aqui):
Erros de digitação:
- ECDHE-ECDSAAES256-GCM-SHA384 provavelmente deve ser ECDHE-ECDSA-AES256-GCM-SHA384
- embora TLSv1.0, DHE-RSAAES256-SHA provavelmente deva ser DHE-RSA-AES256-SHA
Protocolos TLSv1.0:
- DHE-RSA-AES128-SHA é TLSv1.0
- DHE-DSS-AES256-SHA é TLSv1.0
De qualquer forma, eu uso:
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
com
SSLProtocol all -SSLv2 -SSLv3
e retirar uma classificação A + do Teste do servidor SSL da Qualys SSL Labs (incluindo a verificação de não RC4) .
NOTA: Apesar de algumas pessoas estarem a largar o TLSv1.0, poderá ter problemas com um bom número de navegadores, possivelmente incluindo o Android 5.0.0 e versões anteriores, o IE 8-10 no Win 7, o IE 10 no Win Phone 8.0, o Safari 5.1.9 no OS X 10.6.8 e Safari 6.0.4 no OS X 10.8.4