Also bei meinem Debian war Mysql auf localhost gebunden.
Generell gilt bei MySQL -> Wenn möglich den Port via Firewall sperren und nur "freigegebenen" IPs den Zugriff erlauben.
Thema SSL: Let's Encrypt ist schon okay, auch als Hoster. Die wenigsten Kunden haben eine Ahnung von soetwas.
Das einzige was wirklich "zieht" ist ein EV. Grüne Adressleiste ist immer gut ^^.