Nginx и ssl: получаем четыре сотни и а+ на ssllabs.com

Цель -- А+ на SSLLabs, а в идеале вообще все четыре результата по сто баллов. Оценка выводится на основе четырех шкал:

1. Certificate
2. Protocol Support
3. Key Exchange
4. Cipher Strength

Первый пункт, насколько мне известно, просто предполагает наличие подлинного сертификата от известного CA.

Для второго пункта достаточно отключить все протоколы, кроме TLSv1.2. Другими словами пишем это:

ssl_protocols TLSv1.2;

Для выполнения третьего пункта достаточно получить 4096-битный сертификат. Например сертификат от Let's Encrypt выглядит так:

sudo letsencrypt certonly --standalone --email savely@krasovsky.me -d domain.xyz --rsa-key-size 4096

С четвертым пунктом интереснее. Я очень долго пытался найти шифры, с котороми бы удалось набрать 100 баллов. И нашел:

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!AES128';

SSLLabs предполагает, что мы должный отказаться от AES128, чтобы получить максимальный балл. Помимо этого, нужно также создать на сервере 4096-битный DH-ключ. Для ускорения процесса получения, можно использовать такую команду:

sudo openssl dhparam -dsaparam -out /etc/letsencrypt/live/domain.xyz/dhparam.pem 4096

Добиться 400 баллов очень просто, но стоит ли оно того?

Вопрос собственно в следующем:

каков правильный конфиг в 2019 году и каковы возможные потери (если они ещё есть), если исключить шифры AES128 и протоколы TLSv1.0 и TLSv1.