Zu Netcup solltest du wie schon gesagt den Support fragen. Zu einer Frage kann ich aber allgemein antworten
- Der Server schlägt keine eigene Cipher-Suite vor, die bevorzugt genutzt werden soll. Welchen Hintergrund hat das?
Mittlerweile ist "man" der Meinung, dass die Reihenfolge der Cipher-Suites 'nicht' mehr vom Server vorgegeben werden sollte. Das gilt aber nur(!) unter der Annahme, dass ausschließlich sichere Ciphern verwendet werden. Das ist bei "Kompatibilitätssetups" wie TLS1.0 und TLS1.1 nicht der Fall, deshalb sollte hier wie korrekt angegeben die Reihenfolge vorgegeben werden.
Die Einstellung ist umstritten, da ein Angreifer ja einfach nur verwundbare Ciphers anbieten kann und der Server wählt dann natürlich auch eine verwundbare aus. Moderne Clients wählen von sich aus eine sichere Cipher, weswegen das nicht vom Server kommen müsste.
Bei modernen Setups werden nur sichere Ciphers verwendet und dann sollte man den Client entscheiden lassen, der kann nämlich Optimierungen haben (z.B. Hardwareunterstützung für einige Ciphers), die die Verbindung deutlich beschleunigen können. Auch sind manche Verfahren unterschiedlich Performant je nach Architektur (ARM, etc). Und der Server soll ja nicht entscheiden müssen ob da ein langsames Handy connected und deswegen eine andere Cipher verwendet wird. Das darf der Client machen, solange er nur aus sicheren auswählen kann.
Deshalb schlägt der Branchenstandard (?) bei Modern/Intermediate auch "tls_preempt_cipherlist = no" vor und nur bei Old die Einstellung "yes"
=> https://ssl-config.mozilla.org/
Die meisten Onlinetools beachten das allerdings nicht (https://internet.nl/ weist aber z.B. darauf hin, dass wenn nur sichere Ciphers angeboten werden, diese Einstellung OK ist). Daran sieht man dann, ob die Leute nur die höchsten Punkte bei solchen Tools erreichen wollen, oder Ahnung von ihrem Setup haben