Regarder le tutoriel vidéo

L’extension SSL It! offre une interface unique pour garder vos sites Web sécurisés avec des certificats SSL/TLS depuis les autorités de certification de confiance (CA) Let’s Encrypt et DigiCert (Symantec, GeoTrust et RapidSSL) ou tout autre certificat SSL/TLS de votre choix. Vous pouvez aussi :

  • Améliorer la sécurité des visiteurs de votre site Web via les redirections depuis HTTP vers HTTPS.
  • Sécuriser les visiteurs de votre site Web en interdisant aux navigateurs d’accéder au site Web via des connexions HTTP non sécurisées.
  • Protéger la vie privée des visiteurs de votre site Web et améliorer les performances de votre site Web via OCSP Stapling.
  • Chiffrer les connexions avec des certificats SSL/TLS plus sécurisés utilisant les protocoles et les chiffrements générés par Mozilla.

Premiers pas avec SSL It!

  1. L’extension SSL It! est installée par défaut.
  2. Pour bénéficier des avantages de toutes les fonctionnalités de SSL It!, assurez-vous d’avoir également installé les dernières versions des extensions DigiCert SSL et Let’s Encrypt.

Pour gérer le certificat SSL/TLS d’un domaine, allez dans Sites Web & Domaines > votre domaine. Vous pouvez voir le statut actuel du domaine sous Certificats SSL/TLS :

image status

Sécuriser les sites Web avec des certificats SSL/TLS

Avec l’extension SSL It!, vous pouvez sécuriser des sites Web avec des certificats gratuits et payants SSL/TLS (uniquement DigiCert pour le moment) mais aussi avec les certificats SSL/TLS que vous avez déjà.

Pour sécuriser un site Web avec un certificat SSL/TLS gratuit de Let’s Encrypt :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
  2. Cliquez sur Obtenir gratuitement dans « Protection de base ».
  3. Indiquez l’adresse mail à utiliser pour les notifications urgentes et la récupération d’une clé perdue.
  4. Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :
    • Si vous avez un sous-domaine www et/ou des alias de domaines, cochez la case « Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné ».
    • Si vous utilisez la messagerie Web, cochez la case « Sécuriser la messagerie Web sur ce domaine ».
    • Si vous avez tous les éléments mentionnés ci-dessus plus d’autres sous-domaines, sélectionnez le bouton radio « Sécuriser le domaine wildcard (www et messagerie Web incluse) ».
  5. Cliquez sur Obtenir gratuitement.

Un certificat SSL/TLS de Let’s Encrypt sera émis et installé automatiquement.

Note: Si vous sécurisez un domaine avec un certificat SSL/TLS depuis Let’s Encrypt, puis ajoutez des domaines, sous-domaines, alias de domaines ou une messagerie Web à l’abonnement, vous pouvez configurer SSL It! pour les sécuriser automatiquement en réémettant le certificat SSL/TLS depuis Let’s Encrypt. Pour cela, allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS et activez l’option « Assurer la protection des sites Web ».

Pour obtenir un certificat SSL/TLS payant :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Définissez quel certificat SSL/TLS vous voulez acheter. Pour en savoir plus sur les certificats (période de validité, type de validation, etc.), cliquez sur Voir détails. Une fois que vous avez choisi, cliquez sur Acheter. Vous serez alors automatiquement redirigé vers la Boutique en ligne de Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

    image waiting payment

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image payment received

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Note: Certains types de certificats SSL/TLS (par exemple EV) requièrent des actions supplémentaires de votre part. Vous pouvez être contacté par téléphone ou par mail et soumettre les documents requis pour que l’autorité de certification valide votre demande.

Une fois que le certificat SSL/TLS est installé, l’écran Sites Web & Domaines > votre domaine > Certificats SSL/TLS affiche les informations relatives au certificat SSL/TLS installé (nom, autorité de certification, adresse mail, etc.), composants sécurisés et d’autres options (« Redirection depuis HTTP vers HTTPS », « HSTS », etc.).

Note: You can also secure websites with wildcard SSL/TLS certificates via the CLI. To do so, execute the CLI commands of the following pattern:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

and then

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

The first command creates a wildcard certificate order, while the second one completes the order and issues the certificate.

Envoi de certificats SSL/TLS

Vous aurez besoin d’envoyer un certificat SSL/TLS si :

  • Vous en avez déjà un que vous voulez utiliser pour sécuriser votre domaine.
  • Vous voulez installer un certificat que vous ne pouvez pas obtenir avec SSL It!

Pour envoyer un certificat SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS. Puis cliquez sur Envoyer.

    image upload

  2. Localisez le fichier .pem du certificat SSL/TLS que vous voulez envoyer, puis cliquez sur Ouvrir.

Le certificat SSL/TLS sera automatiquement installé sur le domaine.

Renouveler des certificats SSL/TLS

Pour assurer une sécurité ininterrompue de votre site Web, vous devez régulièrement renouveler le certificat SSL/TLS installé. L’extension SSL It! peut vous aider à gérer cela.

SSL It! renouvelle automatiquement les certificats SSL/TLS gratuits de Let’s Encrypt et DigiCert 30 jours avant leur date d’expiration.

image renew

SSL It! ne peut pas renouveler automatiquement les certificats SSL/TLS payants. Toutefois, vous pouvez :

  • Réémettre les certificats manuellement.
  • Demander à SSL It! de remplacer automatiquement les certificats SSL/TLS expirés par des certificats Let’s Encrypt gratuits.

Pour réémettre des certificats payants SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.

  2. Cliquez sur Regénérer le certificat. Vous serez alors automatiquement redirigé vers la boutique en ligne Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

    image waiting payment

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image payment received

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Pour remplacer automatiquement les certificats SSL/TLS payants expirés par des certificats Let’s Encrypt gratuits :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.
  2. Activez l’option « Assurer la protection des sites Web ».

Désormais, quand votre certificat SSL/TLS arrivera à expiration, SSL It! émettra automatiquement un certificat SSL/TLS gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Ce certificat sera émis automatiquement au plus tard une heure après l’expiration du certificat SSL/TLS.

Désattribuer des certificats SSL/TLS

  1. Allez dans Sites Web & Domaines > domaine pour lequel vous voulez libérer le certificat SSL/TLS > Certificats SSL/TLS.
  2. Cliquez sur Libérer le certificat, puis cliquez sur OK.

Améliorer la sécurité de vos sites Web et les connexions serveur chiffrées

Simplement sécuriser un site Web avec un certificat valide émis par une autorité de confiance n’est pas suffisant pour obtenir une protection globale. SSL est une technologie complexe qui dispose de nombreuses fonctionnalités (algorithme de chiffrement de clés, chiffrements sécurisés, HSTS, etc.) pouvant :

  • Améliorer la sécurité des visiteurs de votre site Web.
  • Améliorer les performances de votre site Web.
  • Renforcer la sécurité de toutes les connexions chiffrées au serveur.

En activant ces fonctionnalités, vous pouvez améliorer le classement de votre site Web par les moteurs de recherche :

  • L’option « Rediriger de HTTP vers HTTPS » crée une redirection SEO-safe 301 permanente depuis une version HTTP non sécurisée vers une version HTTPS sécurisée du site Web et/ou de la messagerie Web.
  • HSTS interdit aux navigateurs d’accéder aux sites Web via des connexions HTTP non sécurisées.
  • OSCP oblige le serveur Web à faire une requête de statut du certificat du site Web (bon, révoqué ou inconnu) auprès de l’autorité de certification à la place du navigateur du visiteur.
  • Les versions et les chiffrements TLS par Mozilla renforcent les connexions sécurisées avec les certificats SSL/TLS (site Web, mail, Plesk, etc.)

Prudence: Avant d’activer ces fonctionnalités, vérifiez si vous pouvez accéder à votre site Web via HTTPS sans rencontrer de problème. Dans le cas contraire, les visiteurs risquent de rencontrer des problèmes pour accéder à votre site.

Note: Si vous avez déjà configuré HSTS ou OCSP stapling manuellement sur votre serveur Web, supprimez ces personnalisations avant d’activer HSTS ou OCSP stapling dans SSL It!

Pour améliorer la sécurité de vos sites Web et des connexions serveur chiffrées :

  1. Sécurisez votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance.

  2. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  3. Si vous avez mis à niveau vers Plesk Obsidian depuis une version antérieure de Plesk, activez l’option « Rediriger de HTTP vers HTTPS ». La redirection sera également appliquée pour la messagerie Web par défaut. Sur les installations Plesk Obsidian propres, la redirection depuis un domaine ou la messagerie Web est activée par défaut.

    Note: Si votre messagerie Web n’est pas sécurisée par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

  4. Activer HSTS :

    1. Activez HSTS.

    2. Assurez-vous d’avoir un certificat SSL/TLS valide qui sécurise votre site Web pendant la période maximum. Vérifiez également pour vos sous-domaines et le sous-domaine de la messagerie Web. Dans le cas contraire, si le certificat SSL/TLS expire avant la période maximum et si HSTS est activé, les visiteurs ne pourront pas accéder à votre site Web.

    3. Si vos sous-domaines de sont pas sécurisés par un certificat SSL/TLS valide, ou si vous n’avez pas de sous-domaines, décochez la case « Inclure les sous-domaines ».

    4. Si le sous-domaine de votre messagerie Web n’est pas sécurisé par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

    5. Cliquez sur Activer HSTS.

      Note: Si votre certificat SSL/TLS expire avant la période maximum et si vous voulez tout de même utiliser HSTS, nous vous recommandons d’activer l’option « Assurer la protection des sites Web ». Lorsque le certificat SSL/TLS expire, l’extension SSL It! émet automatiquement un certificat gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Le site Web sera sécurisé sans interruption et HSTS continuera de fonctionner.

  5. Activez « OCSP Stapling ».

  6. Pour activer les versions et le chiffrement TLS par Mozilla :

    1. Allez dans Extensions > onglet « Mes Extensions » > cliquez sur Ouvrir à côté de SSL It!.
    2. Activez « Versions et chiffrements TLS par Mozilla », conservez « Intermédiaire (recommandé) », puis cliquez sur Activer & synchroniser.
    3. Pour rester à jour, cliquez sur « Synchroniser maintenant » de temps à autre (tous les quelques mois).

Une fois que vous avez renforcé la sécurité SSL de votre site Web et de votre serveur, vous pouvez évaluer la sécurité SSL de votre site Web.

Note: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has been already secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

To see details on using SSL It! via the CLI, run the plesk ext sslit --help command.

Problèmes connus et limitations

  • OCSP stapling fonctionne uniquement pour les sites Web servis par Nginx avec Apache ou uniquement Nginx. Si vos sites Web sont servis uniquement par Apache, vous n’avez pas besoin d’activer « OCSP stapling ».
  • OCSP stapling ne fonctionne pas pour les certificats SSL/TLS de certains vendeurs (Par exemple, les certificats gratuits de DigiCert) si la chaîne de confiance intégrale n’est pas mise en place. Pour vérifier si vos certificats prennent en charge OCSP stapling, exécutez le test SSL Labs sur votre configuration SSL.
  • La synchronisation automatique des versions et des chiffrements TLS par Mozilla n’est pas prise en charge actuellement.

Évaluer la sécurité SSL de votre site Web

Les moteurs de recherche populaires (par exemple : Google) classent mieux les sites Web avec une meilleure protection SSL. Dans l’extension SSL It!, vous pouvez exécuter l’un des services de test populaires, Qualys SSL Labs, pour qu’il :

  • Vérifie le niveau de protection SSL de votre site Web.
  • Vérifie les améliorations possibles.
  • Atteigne le score le plus élevé, A+ (après avoir renforcé la protection SSL si nécessaire).

Pour évaluer la sécurité SSL de votre site Web :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
  2. Cliquez sur « Exécuter le test SSL Labs ».

Le site Web Qualys SSL Labs s’ouvre dans un nouvel onglet et le test démarre automatiquement. Patientez jusqu’à fin du test pour recevoir votre note. Cela peut prendre quelques minutes.

Si vous avez sécurisé votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance, et si vous avez activé toutes les fonctionnalités fournies par SSL It!, votre score sera probablement A+.

Personnaliser la liste des certificats SS/TLS offerts par SSL It!

Par défaut, lorsque vous voulez sécuriser un domaine avec un certificat SSL/TLS et que vous utilisez SSL It!, vous voyez quatre certificats SSL/TLS émis par diverses autorités de certification disponibles à l’installation. Mais il y en a d’autres.

SSL It! dispose d’une liste de certificats SSL/TLS disponibles à l’installation. Vous pouvez choisir ceux qui seront visibles dans l’interface SSL It! pour vous, vos clients et vos revendeurs, soit depuis l’interface SSL It!, soit via la CLI.

(Via l’interface SSL It!) Pour personnaliser la liste des certificats SSL/TLS disponibles à l’installation dans SSL It! :

  1. Allez dans Extensions > onglet « Mes Extensions » > cliquez sur Ouvrir à côté de SSL It!.
  2. À côté de « Certificats SSL/TLS », cliquez sur « Configurer ».
  3. Sélectionnez les certificats SSL/TLS, puis cliquez sur Enregistrer.

Vous, vos clients et vos revendeurs, verrez uniquement les certificats SSL Il! sélectionnés dans l’interface SSL It!.

(Via CLI) Pour personnaliser la liste des certificats SSL/TLS disponibles à l’installation dans SSL It! :

  1. Connectez-vous au serveur Plesk via SSH et exécutez la commande suivante pour obtenir la liste complète des certificats SSL/TLS disponibles :

    plesk ext sslit --product -list
    
  2. Copiez les ID du fournisseur et du produit des certificats SSL/TLS que vous voulez ajouter à la liste ou supprimer :

    image product list

  3. Pour personnaliser la liste des certificats SSL/TLS, utilisez les commandes CLI des modèles suivants :

    • Pour ajouter un certificat SSL/TLS à la liste :

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • Pour supprimer un certificat SSL/TLS de la liste :

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • Pour réinitialiser la liste des certificats SSL/TLS par défaut :

      plesk ext sslit --product -reset-to-defaults
      

    Par exemple, si vous souhaitez ajouter le certificat ssl-web-server-ev de Thawte à la liste, exécutez la commande suivante :

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Répétez les commandes décrites ci-dessus jusqu’à ce que vous obteniez la liste souhaitée des certificats SSL/TLS disponibles.

Note: Si vous vendez des certificats SSL/TLS et si vous voulez intégrer ces certificats et les vendre dans l’extension SSL It!, contactez nous par mail : extension@plesk.com. Nous vous indiquerons comment vous lancer dans l’écriture de votre propre extension pour intégrer les certificats SSL/TLS et nous vous guiderons jusqu’à ce qu’ils soient disponibles à l’achat dans l’extension SSL It!.

SSL It! enhanced probability of certificates” issue

SSL It! has a default feature that significantly decreases a number of cases when Let’s Encrypt SSL/TLS certificates cannot be issued because of incompatible domain configurations.

When you get an SSL/TLS certificate from Let’s Encrypt, its servers need to validate that you control the domain names in the certificate. To do so, Let’s Encrypt uses so-called “challenges”: Let’s Encrypt gives a token file that Plesk places to http://<your_domain>/.well-known/acme-challenge/<token>. We call this directory the common challenge directory. The certificate issue will fail if this directory is not accessible. It may happen because of the following configurations:

When installed, SSL It! ensures that the common challenge directory is supported and accessible even if certain incompatible configurations are detected. The feature “common challenge directory support” is enabled by default in Plesk for Linux and Windows.

If necessary, you can turn off the feature via the CLI by running the following command:

plesk ext sslit --common-challenge-dir –disable.

However, we recommend that you keep the common challenge directory support on.

If you have updated to SSL It! 1.4.0 from earlier versions, the common challenge directory support will be turned on automatically unless the use-common-challenge-dir setting was disabled in panel.ini. If the option was disabled, you need to turn on the support manually by running the following command:

plesk ext sslit --common-challenge-dir –enable.

Starting with SSL It 1.4.0 the use-common-challenge-dir setting is deprecated.