Vea el tutorial en vídeo (EN)

The SSL It! extension offers a single interface for keeping your websites secured with SSL/TLS certificates from the trusted certificate authorities (CAs) Let’s Encrypt and DigiCert (Symantec, GeoTrust, and RapidSSL brands) or with any other SSL/TLS certificate of your choice. Using the extension, you can also do the following:

  • Mejorar la seguridad de los visitantes de su sitio web mediante redireccionamientos de HTTP a HTTPS.
  • Proteger a los visitantes de su sitio web impidiendo que los navegadores web puedan acceder al sitio web mediante conexiones HTTP inseguras.
  • Proteger la privacidad de los visitantes de su sitio web y mejorar el rendimiento de su sitio web con Asociación de OCSP.
  • Mejorar la seguridad de las conexiones cifradas con certificados SSL/TLS usando protocolos y cyphers generados por Mozilla.

Primeros pasos en SSL It!

Take into account the following:

  • The SSL It! extension is installed by default.
  • Para sacar el máximo partido de las prestaciones de SSL It!, compruebe que también tiene instaladas las versiones más recientes de las extensiones DigiCert SSL y Let’s Encrypt.

To manage an SSL/TLS certificate of a domain, go to Websites & Domains > your domain. You can see the current security status of the domain under «SSL/TLS Certificates»:

image status

Protección de sitios web con certificados SSL/TLS

With the SSL It! extension, you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

Para proteger un sitio web con un certificado SSL/TLS gratuito de Let’s Encrypt:

  1. Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.

  2. Under «More options», click Install:

    image install_button

  3. Especifique la dirección de email que se usará para las notificaciones urgentes y para la recuperación de claves perdidas.

  4. Seleccione aquello que desea proteger además del dominio principal:

    • Secure the main domain name. Secure only the main domain. If you want to secure only the webmail, you can clear the checkbox.
    • Secure the wildcard domain (including www and webmail). Secure the www subdomain and/or domain aliases, and the webmail.
    • Include a «www» subdomain for the domain and each selected alias. Secure the www subdomain and/or domain aliases.
    • Secure webmail on this domain. Secure the webmail.
    • Assign the certificate to mail domain. Secure the mail with the IMAP, POP, or SMTP protocol. If you have the www subdomain and/or domain aliases, select the Include a «www» subdomain for the domain and each selected alias checkbox.
  5. Haga clic en Obténgalo gratis.

Se emitirá un certificado SSL/TLS de Let’s Encrypt, que se instalará automáticamente.

Nota: If you secure a domain with an SSL/TLS certificate from Let’s Encrypt and then add new domains, subdomains, domain aliases, or webmail to the subscription, you can have SSL It! automatically secure them by reissuing the SSL/TLS certificate from Let’s Encrypt. To do so, go to Websites & Domains > your domain > SSL/TLS Certificates and turn on the Keep websites secured option.

Si desea obtener un certificado SSL/TLS de pago:

  1. Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.

  2. To get the list of available certificates, click Get Certificates:

    image Get_Certificates_Button

  3. Select the SSL/TLS certificate you want to buy and click the Buy button in the certificate’s form. .. note:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the **Recommended**, **Wildcard**, and
        **For organization use** filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  5. Сlose the pop-up window.

  6. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  7. Una vez procesado el pago, haga clic en Indique los datos obligatorios.

    image payment received

  8. Fill in the required contact information, and then click OK.

Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).

Nota: Algunos tipos de certificados SSL/TLS (como por ejemplo EV) requieren que realice algunas acciones adicionales. Es posible que deba responder a una llamada telefónica o a un email y enviar los documentos necesarios con el fin de que la autoridad de certificación valide su petición.

Una vez instalado el certificado SSL/TLS, en la pantalla Sitios web y dominios > su dominio > Certificados SSL/TLS se mostrará la información sobre el certificado SSL/TLS instalado (nombre, autoridad de certificación, dirección de email, etc.), los componentes protegidos y otras opciones (como puede ser el caso de «Redireccionamiento de HTTP a HTTPS», entre otros).

Securing Websites via CLI

You can also secure websites with wildcard SSL/TLS certificates via the CLI. Execute the following CLI commands:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

y a continuación

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

El primer comando crea un pedido de un certificado wildcard, mientras que el segundo completa el pedido y emite el certificado.

Carga de certificados SSL/TLS

You may want to upload an SSL/TLS certificate in the following cases:

  • You already have a certificate that you want to use to secure your domain.
  • Desea instalar un certificado que no puede obtenerse mediante SSL It!.

Para cargar un certificado SSL/TLS:

  1. Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS y haga clic en Cargar.

    image upload

  2. Localice el archivo``.pem`` del certificado SSL/TLS que desea cargar y haga clic en Abrir.

El certificado SSL/TLS se instalará automáticamente en el dominio.

Renovación de certificados SSL/TLS instalados

Con el fin de poder garantizar que su sitio web está continuamente protegido es imprescindible renovar el certificado SSL/TLS instalado de inmediato cuando sea el momento. La extensión SSL It! se lo pone muy fácil..

SSL It! renueva certificados SSL/TLS de Let’s Encrypt y DigiCert automáticamente 30 días antes de que expiren.

image renew

SSL It! cannot automatically renew paid SSL/TLS certificates. However, you can do the following:

  • Volverlos a emitir manualmente.
  • Configurar SSL It! para que automáticamente reemplace los certificados SSL/TLS expirados por certificados gratuitos de Let’s Encrypt.

Para volver a emitir certificados SSL/TLS de pago:

  1. Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.

  2. Haga clic en Volver a emitir el certificado. A continuación se le redireccionará a la tienda online de Plesk.

  3. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  4. Сlose the pop-up window.

  5. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  6. Una vez procesado el pago, haga clic en Indique los datos obligatorios.

    image payment received

  7. Fill in the required contact information, and then click OK.

Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).

Si desea reemplazar automáticamente certificados SSL/TLS de pago expirados por certificados gratuitos de Let’s Encrypt:

  1. Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.
  2. Turn on Keep websites secured.

Now when your paid SSL/TLS certificate expires, SSL It! automatically issues a free SSL/TLS certificate from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. It usually happens no later than one hour after the SSL/TLS certificate expires.

Cancelación de la asignación de certificados SSL/TLS

  1. Vaya a Sitios web y dominios > el dominio el certificado SSL/TLS del cual desea que ya no esté asignado > Certificados SSL/TLS.
  2. Click Unassign Certificate, and then click OK.

Mejora de la seguridad de sus sitios web y conexiones de servidor cifradas

Proteger un sitio web únicamente con un certificado SSL/TLS válido de una autoridad de certificación de confianza no es ni mucho menos suficiente. SSL es una compleja tecnología que ofrece múltiples prestaciones, como por ejemplo algoritmo de cifrado de claves, cyphers seguros y HSTS, entre otras. Estas prestaciones le permiten:

  • Mejorar la seguridad de los visitantes de su sitio web.
  • Mejorar el rendimiento de su sitio web.
  • Optimizar la seguridad de todas las conexiones cifradas del servidor

Al disponer de estas prestaciones, mejorará el posicionamiento de sus sitios web en los buscadores:

  • Redirect from http to https sets up a permanent, SEO-safe 301 redirect from the insecure HTTP to the secure HTTPS version of the website and/or webmail.
  • HSTS prohibits web browsers from accessing the website via insecure HTTP connections.
  • OSCP makes the web server request the status of the website’s certificate (can be good, revoked, or unknown) from the CA instead of the visitor’s browser.
  • TLS versions and ciphers by Mozilla harden connections secured with SSL/TLS certificates (website, mail, Plesk, and so on).

Prudencia: Before turning these features on, make sure that your website can be accessed via HTTPS without any issues. Otherwise, visitors may have trouble accessing your website.

Nota: Si ya ha configurado la asociación de OCSP o HSTS en su servidor web de forma manual, elimine estas personalizaciones antes de activar la asociación de OCSP o HSTS en SSL It!.

Para mejorar la seguridad de sus sitios web y de las conexiones cifradas:

  1. Proteja su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza.

  2. Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.

  3. If you have upgraded to Plesk Obsidian from earlier Plesk versions, turn on Redirect from http to https. The redirect will be also applied for webmail by default. On clean Plesk Obsidian installations, the redirect for the domain and webmail is already turned on by default.

    Nota: If your webmail is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.

  4. Enable HSTS.

    Nota: If your SSL/TLS certificate expires earlier than the Max-age period but you still want to use HSTS, we recommend that you turn on «Keep websites secured». Then when the SSL/TLS certificate expires, SSL It! will automatically issue a free one from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. The website will be continuously secured and HSTS will continue working.

  5. Turn on OCSP Stapling.

  6. Enable TLS versions and ciphers by Mozilla.

Una vez mejorada la seguridad SSL de su sitio web y de su servidor, puede evaluar la seguridad SSL de su sitio web.

Nota: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has already been secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

Si desea descubrir cómo usar SSL It! mediante la CLI, ejecute el comando plesk ext sslit --help.

Enabling HSTS

  1. Active HSTS.
  2. Make sure that the SSL/TLS certificate that secures your website will be valid during the Max-age period. Do the same for subdomains and the webmail subdomain.

Advertencia: If the SSL/TLS certificate expires earlier than the Max-age period and HSTS is turned on, visitors won’t be able to access your website.

  1. If your subdomains are not secured with valid SSL/TLS certificates or you do not have any subdomains, clear the Include subdomains checkbox.
  2. If your webmail subdomain is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.
  3. Haga clic en Activar HSTS.

Enabling TLS Versions and Сiphers by Mozilla

  1. Go to Extensions > the My Extensions tab > click Open next to SSL It!
  2. Under TLS versions and ciphers by Mozilla, turn on the toggle.
  3. Keep Intermediate (recommended), and then click Enable & Sync.
  4. To stay current, click Sync now once every few months.

Limitaciones y problemas conocidos

  • La asociación de OCSP solo funciona en el caso de sitios web protegidos mediante nginx con Apache o únicamente con nginx. Si sus sitios web solo se sirven mediante Apache, no es necesario activar «Asociación de OCSP».
  • Es posible que la asociación de OCSP no funcione en el caso de certificados SSL/TLS de determinados proveedores (como puede ser el caso de certificados gratuitos de DigiCert) si la completa cadena de confianza no se encuentra en su sitio. Para verificar que su certificado soporta este tipo de asociación, ejecute el test de SSL Labs en su configuración SSL.
  • En estos momentos no se soporta la sincronización automática de ciphers y versiones TLS de Mozilla.

Evaluación de la seguridad SSL de su sitio web

Los navegadores conocidos como Google posicionan mejor aquellos sitios web que cuentan con protección SSL. En la extensión SSL It! puede ejecutar uno de los servicios de análisis más populares, Qualys SSL Labs, para lo siguiente:

  • Verificar la calidad de la protección SSL de su sitio web.
  • Comprobar posibles mejoras.
  • Obtener A+, la máxima puntuación (tras mejorar la protección SSL, de ser necesario).

Para evaluar la seguridad SSL de su sitio web:

  1. Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
  2. Click Run SSL Labs Test.

En una nueva pestaña se abrirá el sitio web de Qualys SSL Labs y se iniciará el análisis de inmediato. Espere hasta que este finalice para obtener su puntuación. Esto puede tardar unos minutos.

Si protegió su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza y activó todas las prestaciones relacionadas con la mejora de la seguridad de SSL It!, lo más probable es que obtenga la puntuación A+.

Personalización de la lista de certificados SSL/TLS de SSL It!

Por defecto, cuando desee proteger un dominio con un certificado SSL/TLS y vaya a SSL It!, verá cuatro certificados SSL/TLS de distintas autoridades de certificación disponibles para instalar, si bien existen más certificados.

SSL It! cuenta con una lista de certificados SSL/TLS disponibles para ser instalados. Puede escoger cuáles de ellos serán visibles para usted, sus clientes y revendedores en el interfaz de SSL It!. Esta acción puede llevarse a cabo en el interfaz de SSL It! o bien mediante el CLI.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the SSL It! interface:

  1. Go to Extensions > My Extensions tab > click Open next to SSL It!.
  2. Next to SSL/TLS Certificates, click Configure.
  3. Select the desired SSL/TLS certificates, and then click Save.

Usted, sus clientes y revendedores ahora solo verán los certificados seleccionados en el interfaz de SSL It!

Customize the list of SSL/TLS certificates available for installation in SSL It! via the CLI:

  1. Connect to the Plesk server via SSH.

  2. Get the full list of available SSL/TLS certificates by running the following command:

    plesk ext sslit --product -list
    
  3. Copie el ID del producto y del proveedor del certificado SSL/TLS que desea añadir a la lista o bien que desea eliminar de la misma.

    image product list

  4. Para personalizar la lista de certificados SSL/TLS, use los comandos del CLI de los siguientes patrones:

    • Para añadir un certificado SSL/TLS a la lista:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • Para eliminar un certificado SSL/TLS de la lista:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • Para restablecer la lista de certificados SSL/TLS a los valores predeterminados:

      plesk ext sslit --product -reset-to-defaults
      

    Por ejemplo, si desea añadir el certificado ssl-web-server-ev de Thawte a la lista, ejecute el siguiente comando:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  5. Repita los comandos descritos anteriormente varias veces hasta que obtenga la lista deseada de certificados SSL/TLS disponibles.

Nota: Si usted vende certificados SSL/TLS y desea integrarlos y venderlos en SSL It!, póngase en contacto con nosotros enviando un email a plesk-extensions@plesk.com. Le indicaremos cómo empezar a escribir su propia extensión o cómo integrar los certificados SSL/TLS y le guiaremos hasta que estos puedan comprarse en SSL It!.

SSL It! ha mejorado la probabilidad de emisión de certificados

SSL It! cuenta con una prestación predeterminada que aumenta de forma significativa el número de casos en que los certificados SSL/TLS de Let’s Encrypt no pueden emitirse debido a configuraciones de dominio incompatibles.

Cuando obtiene un certificado SSL/TLS de Let’s Encrypt, sus servidores deben validar que usted controla los nombres de dominio en el certificado. Para ello, Let’s Encrypt usa los denominados “desafíos”: Let’s Encrypt proporciona un archivo token que Plesk guarda en http://<your_domain>/.well-known/acme-challenge/<token>. A este directorio lo denominamos el directorio de desafío común. El certificado no podrá emitirse si no es posible acceder a este directorio, lo que puede suceder debido a las siguientes configuraciones:

Al instalarse, SSL It! garantiza que el directorio de desafío común es soportado y que puede accederse a él incluso en el caso de que se detecte alguna configuración incompatible. La prestación «soporte de directorio de desafío común» viene activada por defecto en Plesk para Linux y Windows.

De ser necesario, puede desactivar la prestación mediante la CLI ejecutando el siguiente comando:

plesk ext sslit --common-challenge-dir –disable.

De todos modos, le recomendamos mantener activado el soporte para el directorio de desafío común.

Si ha actualizado a SSL It! 1.4.0, el soporte de directorio de desafío común se activará automáticamente a menos que la opción use-common-challenge-dir se haya desactivado en panel.ini. Si la opción fue desactivada, deberá activar el soporte manualmente ejecutando el siguiente comando:

plesk ext sslit --common-challenge-dir –enable.

A partir de SSL It! 1.4.0, ya no se usa la opción use-common-challenge-dir.