Regarder le tutoriel vidéo

L’extension SSL It! offre une interface unique pour garder vos sites Web sécurisés avec des certificats SSL/TLS depuis les autorités de certification de confiance (CA) Let’s Encrypt et DigiCert (Symantec, GeoTrust et RapidSSL) ou tout autre certificat SSL/TLS de votre choix. Vous pouvez aussi :

  • Améliorer la sécurité des visiteurs de votre site Web via les redirections depuis HTTP vers HTTPS.
  • Sécuriser les visiteurs de votre site Web en interdisant aux navigateurs d’accéder au site Web via des connexions HTTP non sécurisées.
  • Protéger la vie privée des visiteurs de votre site Web et améliorer les performances de votre site Web via OCSP Stapling.
  • Chiffrer les connexions avec des certificats SSL/TLS plus sécurisés utilisant les protocoles et les chiffrements générés par Mozilla.

Premiers pas avec SSL It!

  1. L’extension SSL It! est installée par défaut.
  2. Pour bénéficier des avantages de toutes les fonctionnalités de SSL It!, assurez-vous d’avoir également installé les dernières versions des extensions DigiCert SSL et Let’s Encrypt.

Pour gérer le certificat SSL/TLS d’un domaine, allez dans Sites Web & Domaines > votre domaine. Vous pouvez voir le statut actuel du domaine sous Certificats SSL/TLS :

image-status.png

Sécuriser les sites Web avec des certificats SSL/TLS

Avec l’extension SSL It!, vous pouvez sécuriser des sites Web avec des certificats gratuits et payants SSL/TLS (uniquement DigiCert pour le moment) mais aussi avec les certificats SSL/TLS que vous avez déjà.

Pour sécuriser un site Web avec un certificat SSL/TLS gratuit de Let’s Encrypt :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
  2. Cliquez sur Obtenir gratuitement dans « Protection de base ».
  3. Indiquez l’adresse mail à utiliser pour les notifications urgentes et la récupération d’une clé perdue.
  4. Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :
    • Si vous avez un sous-domaine www et/ou des alias de domaines, cochez la case « Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné ».
    • Si vous utilisez la messagerie Web, cochez la case « Sécuriser la messagerie Web sur ce domaine ».
    • Si vous avez tous les éléments mentionnés ci-dessus plus d’autres sous-domaines, sélectionnez le bouton radio « Sécuriser le domaine wildcard (www et messagerie Web incluse) ».
  5. Cliquez sur Obtenir gratuitement.

Un certificat SSL/TLS de Let’s Encrypt sera émis et installé automatiquement.

Note: Si vous sécurisez un domaine avec un certificat SSL/TLS depuis Let’s Encrypt, puis ajoutez des domaines, sous-domaines, alias de domaines ou une messagerie Web à l’abonnement, vous pouvez configurer SSL It! pour les sécuriser automatiquement en réémettant le certificat SSL/TLS depuis Let’s Encrypt. Pour cela, allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS et activez l’option « Assurer la protection des sites Web ».

Pour obtenir un certificat SSL/TLS payant :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Définissez quel certificat SSL/TLS vous voulez acheter. Pour en savoir plus sur les certificats (période de validité, type de validation, etc.), cliquez sur Voir détails. Une fois que vous avez choisi, cliquez sur Acheter. Vous serez alors automatiquement redirigé vers la Boutique en ligne de Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

    image-waiting-payment.png

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image-payment-received.png

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Note: Certains types de certificats SSL/TLS (par exemple EV) requièrent des actions supplémentaires de votre part. Vous pouvez être contacté par téléphone ou par mail et soumettre les documents requis pour que l’autorité de certification valide votre demande.

Une fois que le certificat SSL/TLS est installé, l’écran Sites Web & Domaines > votre domaine > Certificats SSL/TLS affiche les informations relatives au certificat SSL/TLS installé (nom, autorité de certification, adresse mail, etc.), composants sécurisés et d’autres options (« Redirection depuis HTTP vers HTTPS », « HSTS », etc.).

Envoi de certificats SSL/TLS

Vous aurez besoin d’envoyer un certificat SSL/TLS si :

  • Vous en avez déjà un que vous voulez utiliser pour sécuriser votre domaine.
  • Vous voulez installer un certificat que vous ne pouvez pas obtenir avec SSL It!

Pour envoyer un certificat SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS. Puis cliquez sur Envoyer.

    image-upload.png

  2. Localisez le fichier .pem du certificat SSL/TLS que vous voulez envoyer, puis cliquez sur Ouvrir.

Le certificat SSL/TLS sera automatiquement installé sur le domaine.

Renouveler des certificats SSL/TLS

Pour assurer une sécurité ininterrompue de votre site Web, vous devez régulièrement renouveler le certificat SSL/TLS installé. L’extension SSL It! peut vous aider à gérer cela.

SSL It! renouvelle automatiquement les certificats SSL/TLS gratuits de Let’s Encrypt et DigiCert 30 jours avant leur date d’expiration.

image-renew.png

SSL It! ne peut pas renouveler automatiquement les certificats SSL/TLS payants. Toutefois, vous pouvez :

  • Réémettre les certificats manuellement.
  • Demander à SSL It! de remplacer automatiquement les certificats SSL/TLS expirés par des certificats Let’s Encrypt gratuits.

Pour réémettre des certificats payants SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.

  2. Cliquez sur Regénérer le certificat. Vous serez alors automatiquement redirigé vers la boutique en ligne Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

    image-waiting-payment.png

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image-payment-received.png

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Pour remplacer automatiquement les certificats SSL/TLS payants expirés par des certificats Let’s Encrypt gratuits :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.
  2. Activez l’option « Assurer la protection des sites Web ».

Désormais, quand votre certificat SSL/TLS arrivera à expiration, SSL It! émettra automatiquement un certificat SSL/TLS gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Ce certificat sera émis automatiquement au plus tard une heure après l’expiration du certificat SSL/TLS.

Désattribuer des certificats SSL/TLS

  1. Allez dans Sites Web & Domaines > domaine pour lequel vous voulez libérer le certificat SSL/TLS > Certificats SSL/TLS.
  2. Cliquez sur Libérer le certificat, puis cliquez sur OK.

Améliorer la sécurité de vos sites Web et les connexions serveur chiffrées

Simplement sécuriser un site Web avec un certificat valide émis par une autorité de confiance n’est pas suffisant pour obtenir une protection globale. SSL est une technologie complexe qui dispose de nombreuses fonctionnalités (algorithme de chiffrement de clés, chiffrements sécurisés, HSTS, etc.) pouvant :

  • Améliorer la sécurité des visiteurs de votre site Web.
  • Améliorer les performances de votre site Web.
  • Renforcer la sécurité de toutes les connexions chiffrées au serveur.

En activant ces fonctionnalités, vous pouvez améliorer le classement de votre site Web par les moteurs de recherche :

  • L’option « Rediriger de HTTP vers HTTPS » crée une redirection SEO-safe 301 permanente depuis une version HTTP non sécurisée vers une version HTTPS sécurisée du site Web et/ou de la messagerie Web.
  • HSTS interdit aux navigateurs d’accéder aux sites Web via des connexions HTTP non sécurisées.
  • OSCP oblige le serveur Web à faire une requête de statut du certificat du site Web (bon, révoqué ou inconnu) auprès de l’autorité de certification à la place du navigateur du visiteur.
  • Les versions et les chiffrements TLS par Mozilla renforcent les connexions sécurisées avec les certificats SSL/TLS (site Web, mail, Plesk, etc.)

Prudence: Avant d’activer ces fonctionnalités, vérifiez si vous pouvez accéder à votre site Web via HTTPS sans rencontrer de problème. Dans le cas contraire, les visiteurs risquent de rencontrer des problèmes pour accéder à votre site.

Note: Si vous avez déjà configuré HSTS ou OCSP stapling manuellement sur votre serveur Web, supprimez ces personnalisations avant d’activer HSTS ou OCSP stapling dans SSL It!

Pour améliorer la sécurité de vos sites Web et des connexions serveur chiffrées :

  1. Sécurisez votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance.

  2. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  3. Si vous avez mis à niveau vers Plesk Obsidian depuis une version antérieure de Plesk, activez l’option « Rediriger de HTTP vers HTTPS ». La redirection sera également appliquée pour la messagerie Web par défaut. Sur les installations Plesk Obsidian propres, la redirection depuis un domaine ou la messagerie Web est activée par défaut.

    Note: Si votre messagerie Web n’est pas sécurisée par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

  4. Activer HSTS :

    1. Activez HSTS.

    2. Assurez-vous d’avoir un certificat SSL/TLS valide qui sécurise votre site Web pendant la période maximum. Vérifiez également pour vos sous-domaines et le sous-domaine de la messagerie Web. Dans le cas contraire, si le certificat SSL/TLS expire avant la période maximum et si HSTS est activé, les visiteurs ne pourront pas accéder à votre site Web.

    3. Si vos sous-domaines de sont pas sécurisés par un certificat SSL/TLS valide, ou si vous n’avez pas de sous-domaines, décochez la case « Inclure les sous-domaines ».

    4. Si le sous-domaine de votre messagerie Web n’est pas sécurisé par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

    5. Cliquez sur Activer HSTS.

      Note: Si votre certificat SSL/TLS expire avant la période maximum et si vous voulez tout de même utiliser HSTS, nous vous recommandons d’activer l’option « Assurer la protection des sites Web ». Lorsque le certificat SSL/TLS expire, l’extension SSL It! émet automatiquement un certificat gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Le site Web sera sécurisé sans interruption et HSTS continuera de fonctionner.

  5. Activez « OCSP Stapling ».

  6. Pour activer les versions et le chiffrement TLS par Mozilla :

    1. Allez dans Extensions > onglet « Mes Extensions » > cliquez sur Ouvrir à côté de SSL It!.
    2. Activez « Versions et chiffrements TLS par Mozilla », conservez « Intermédiaire (recommandé) », puis cliquez sur Activer & synchroniser.
    3. Pour rester à jour, cliquez sur « Synchroniser maintenant » de temps à autre (tous les quelques mois).

Une fois que vous avez renforcé la sécurité SSL de votre site Web et de votre serveur, vous pouvez évaluer la sécurité SSL de votre site Web.

Problèmes connus et limitations

  • OCSP stapling fonctionne uniquement pour les sites Web servis par Nginx avec Apache ou uniquement Nginx. Si vos sites Web sont servis uniquement par Apache, vous n’avez pas besoin d’activer « OCSP stapling ».
  • OCSP stapling ne fonctionne pas pour les certificats SSL/TLS de certains vendeurs (Par exemple, les certificats gratuits de DigiCert) si la chaîne de confiance intégrale n’est pas mise en place. Pour vérifier si vos certificats prennent en charge OCSP stapling, exécutez le test SSL Labs sur votre configuration SSL.
  • La synchronisation automatique des versions et des chiffrements TLS par Mozilla n’est pas prise en charge actuellement.

Évaluer la sécurité SSL de votre site Web

Les moteurs de recherche populaires (par exemple : Google) classent mieux les sites Web avec une meilleure protection SSL. Dans l’extension SSL It!, vous pouvez exécuter l’un des services de test populaires, Qualys SSL Labs, pour qu’il :

  • Vérifie le niveau de protection SSL de votre site Web.
  • Vérifie les améliorations possibles.
  • Atteigne le score le plus élevé, A+ (après avoir renforcé la protection SSL si nécessaire).

Pour évaluer la sécurité SSL de votre site Web :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
  2. Cliquez sur « Exécuter le test SSL Labs ».

Le site Web Qualys SSL Labs s’ouvre dans un nouvel onglet et le test démarre automatiquement. Patientez jusqu’à fin du test pour recevoir votre note. Cela peut prendre quelques minutes.

Si vous avez sécurisé votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance, et si vous avez activé toutes les fonctionnalités fournies par SSL It!, votre score sera probablement A+.

Personnaliser la liste des certificats SS/TLS offerts par SSL It!

Par défaut, lorsque vous voulez sécuriser un domaine avec un certificat SSL/TLS et que vous utilisez SSL It!, vous voyez quatre certificats SSL/TLS émis par diverses autorités de certification disponibles à l’installation. Mais il y en a d’autres.

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

(Via the SSL It! interface) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. Allez dans Extensions > onglet « Mes Extensions » > cliquez sur Ouvrir à côté de SSL It!.
  2. Next to « SSL/TLS Certificates », click « Configure ».
  3. Select the desired SSL/TLS certificates and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

(Via the CLI) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. Connectez-vous au serveur Plesk via SSH et exécutez la commande suivante pour obtenir la liste complète des certificats SSL/TLS disponibles :

    plesk ext sslit --product -list
    
  2. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image-product-list.png

  3. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

Note: Si vous vendez des certificats SSL/TLS et si vous voulez intégrer ces certificats et les vendre dans l’extension SSL It!, contactez nous par mail : extension@plesk.com. Nous vous indiquerons comment vous lancer dans l’écriture de votre propre extension pour intégrer les certificats SSL/TLS et nous vous guiderons jusqu’à ce qu’ils soient disponibles à l’achat dans l’extension SSL It!.