PS. Die Webseite https://cipherli.st/ enthält Hinweise zur Umsetzung der Empfehlungen
Was ich an dieser Webseite schon immer merkwürdig fand: Sie empfiehlt für NGINX >=1.13.0 das Aktivieren von nur TLSv1.3 - das ist eine sehr schlechte Idee, wenn man sich die Geräte-Unterstützung anschaut[1]. Für Apache empfiehlt sie, 1.2 und 1.3 zu aktivieren (bzw alle anderen zu deaktivieren), das ist die viel bessere Variante, für NGINX sollte man also neben 1.3 auch 1.2 aktivieren.
Das AKIF-Dokument empfiehlt für die praktische Umsetzung die Website bettercrypto.org (auf Seite 2 am Ende), die aber auch als Best Practices für Apache+NGINX (und weitere, zB Dovecot, Postfix, ...) TLS 1.0 und 1.1 aktiviert lässt, und für NGINX 1.3 nicht aktiviert. Das wirkt daher wie eine veraltete Empfehlung (die eben sogar der AKIF-Empfehlung widerspricht), cipherli.st erscheint hier sinnvoller (mit obiger Notiz). Warum die Autoren der (ansonsten technisch fundierten) Empfehlung dies nicht entsprechend benannt haben verstehe ich nicht?