Das hat mich dann nach weiteren drei Stunden Lesen auf eine Lösung gebracht:

In der my.cnf ergänzen:
ssl-cipher = AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA

Ich glaube, es entsteht hierdurch dieses Problem.

Das wäre also "nicht wirklich" eine Lösung, denn damit setzt Du die Verschlüsselung auf ein Niveau herunter, die nicht "dem Stand der Technik" entspricht. Richtig wäre es gewesen, dem Server ein Update zu verpassen, damit der aktuelle Schlüssellängen verarbeitet - oder, alternativ, die Verbindung zum Datenbankserver generell via VPN oder SSH (aber mit aktuellen Versionen) zu tunneln. Wobei das Serverupdate zu preferieren ist, weil ja sicherlich nicht nur die Verschlüsselung ein Update erfahren hat, sondern auch Bugs oder Performanceprobleme behoben wurden. Auf alte XP-Clients muss man ja schon seit ein paar Jahren keine Rücksicht mehr nehmen.