Hallo,
Zusätzlich wäre es sicherlich nicht schlecht, eigene schöne DH-Parameter zu generieren und zu nutzen.
ich selbst hätte DHE gleich vollständig entfernt. Dann fehlt dir zwar in Android 2.3.7, Java 6 und OpenSSL 0.9.8 die Forward Secrecy, aber die sind (in meinem Fall) wegen SNI ohnehin außen vor. Und selbst wenn das passende Zertifikat käme ist es mir lieber die Liste der erlaubten Ciphersuites kurz zu halten, anstatt diesen uralt-Systemen Forward Secrecy zu geben.
Wenn man den IE 8 unter XP nicht mehr möchte, dann entfernt man am besten auch noch 3DES.