Regarder le tutoriel vidéo

The SSL It! extension offers a single interface for keeping your websites secured with SSL/TLS certificates from the trusted certificate authorities (CAs) Let’s Encrypt and DigiCert (Symantec, GeoTrust, and RapidSSL brands) or with any other SSL/TLS certificate of your choice. Using the extension, you can also do the following:

  • Améliorer la sécurité des visiteurs de votre site Web via les redirections depuis HTTP vers HTTPS.
  • Sécuriser les visiteurs de votre site Web en interdisant aux navigateurs d’accéder au site Web via des connexions HTTP non sécurisées.
  • Protéger la vie privée des visiteurs de votre site Web et améliorer les performances de votre site Web via OCSP Stapling.
  • Chiffrer les connexions avec des certificats SSL/TLS plus sécurisés utilisant les protocoles et les chiffrements générés par Mozilla.

Premiers pas avec SSL It!

Take into account the following:

  • The SSL It! extension is installed by default.
  • Pour bénéficier des avantages de toutes les fonctionnalités de SSL It!, assurez-vous d’avoir également installé les dernières versions des extensions DigiCert SSL et Let’s Encrypt.

To manage an SSL/TLS certificate of a domain, go to Websites & Domains > your domain. You can see the current security status of the domain under « SSL/TLS Certificates »:

image status

Sécuriser les sites Web avec des certificats SSL/TLS

With the SSL It! extension, you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

Pour sécuriser un site Web avec un certificat SSL/TLS gratuit de Let’s Encrypt :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Under « More options », click Install:

    image install_button

  3. Indiquez l’adresse mail à utiliser pour les notifications urgentes et la récupération d’une clé perdue.

  4. Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :

    • Secure the main domain name. Secure only the main domain. If you want to secure only the webmail, you can clear the checkbox.
    • Secure the wildcard domain (including www and webmail). Secure the www subdomain and/or domain aliases, and the webmail.
    • Include a « www » subdomain for the domain and each selected alias. Secure the www subdomain and/or domain aliases.
    • Secure webmail on this domain. Secure the webmail.
    • Assign the certificate to mail domain. Secure the mail with the IMAP, POP, or SMTP protocol. If you have the www subdomain and/or domain aliases, select the Include a « www » subdomain for the domain and each selected alias checkbox.
  5. Cliquez sur Obtenir gratuitement.

Un certificat SSL/TLS de Let’s Encrypt sera émis et installé automatiquement.

Note: If you secure a domain with an SSL/TLS certificate from Let’s Encrypt and then add new domains, subdomains, domain aliases, or webmail to the subscription, you can have SSL It! automatically secure them by reissuing the SSL/TLS certificate from Let’s Encrypt. To do so, go to Websites & Domains > your domain > SSL/TLS Certificates and turn on the Keep websites secured option.

Pour obtenir un certificat SSL/TLS payant :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. To get the list of available certificates, click Get Certificates:

    image Get_Certificates_Button

  3. Select the SSL/TLS certificate you want to buy and click the Buy button in the certificate’s form. .. note:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the **Recommended**, **Wildcard**, and
        **For organization use** filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  5. Сlose the pop-up window.

  6. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  7. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image payment received

  8. Fill in the required contact information, and then click OK.

Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Note: Certains types de certificats SSL/TLS (par exemple EV) requièrent des actions supplémentaires de votre part. Vous pouvez être contacté par téléphone ou par mail et soumettre les documents requis pour que l’autorité de certification valide votre demande.

Une fois que le certificat SSL/TLS est installé, l’écran Sites Web & Domaines > votre domaine > Certificats SSL/TLS affiche les informations relatives au certificat SSL/TLS installé (nom, autorité de certification, adresse mail, etc.), composants sécurisés et d’autres options (« Redirection depuis HTTP vers HTTPS », « HSTS », etc.).

Securing Websites via CLI

You can also secure websites with wildcard SSL/TLS certificates via the CLI. Execute the following CLI commands:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

puis

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

La première commande créé une commande de certificat wildcard, tandis que la seconde termine la commande et émet le certificat.

Envoi de certificats SSL/TLS

You may want to upload an SSL/TLS certificate in the following cases:

  • You already have a certificate that you want to use to secure your domain.
  • Vous voulez installer un certificat que vous ne pouvez pas obtenir avec SSL It!

Pour envoyer un certificat SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS. Puis cliquez sur Envoyer.

    image upload

  2. Localisez le fichier .pem du certificat SSL/TLS que vous voulez envoyer, puis cliquez sur Ouvrir.

Le certificat SSL/TLS sera automatiquement installé sur le domaine.

Renouveler des certificats SSL/TLS

Pour assurer une sécurité ininterrompue de votre site Web, vous devez régulièrement renouveler le certificat SSL/TLS installé. L’extension SSL It! peut vous aider à gérer cela.

SSL It! renouvelle automatiquement les certificats SSL/TLS gratuits de Let’s Encrypt et DigiCert 30 jours avant leur date d’expiration.

image renew

SSL It! cannot automatically renew paid SSL/TLS certificates. However, you can do the following:

  • Réémettre les certificats manuellement.
  • Demander à SSL It! de remplacer automatiquement les certificats SSL/TLS expirés par des certificats Let’s Encrypt gratuits.

Pour réémettre des certificats payants SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.

  2. Cliquez sur Regénérer le certificat. Vous serez alors automatiquement redirigé vers la boutique en ligne Plesk.

  3. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  4. Сlose the pop-up window.

  5. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

    image payment received

  7. Fill in the required contact information, and then click OK.

Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Pour remplacer automatiquement les certificats SSL/TLS payants expirés par des certificats Let’s Encrypt gratuits :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.
  2. Turn on Keep websites secured.

Now when your paid SSL/TLS certificate expires, SSL It! automatically issues a free SSL/TLS certificate from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. It usually happens no later than one hour after the SSL/TLS certificate expires.

Désattribuer des certificats SSL/TLS

  1. Allez dans Sites Web & Domaines > domaine pour lequel vous voulez libérer le certificat SSL/TLS > Certificats SSL/TLS.
  2. Click Unassign Certificate, and then click OK.

Améliorer la sécurité de vos sites Web et les connexions serveur chiffrées

Simplement sécuriser un site Web avec un certificat valide émis par une autorité de confiance n’est pas suffisant pour obtenir une protection globale. SSL est une technologie complexe qui dispose de nombreuses fonctionnalités (algorithme de chiffrement de clés, chiffrements sécurisés, HSTS, etc.) pouvant :

  • Améliorer la sécurité des visiteurs de votre site Web.
  • Améliorer les performances de votre site Web.
  • Renforcer la sécurité de toutes les connexions chiffrées au serveur.

En activant ces fonctionnalités, vous pouvez améliorer le classement de votre site Web par les moteurs de recherche :

  • Redirect from http to https sets up a permanent, SEO-safe 301 redirect from the insecure HTTP to the secure HTTPS version of the website and/or webmail.
  • HSTS prohibits web browsers from accessing the website via insecure HTTP connections.
  • OSCP makes the web server request the status of the website’s certificate (can be good, revoked, or unknown) from the CA instead of the visitor’s browser.
  • TLS versions and ciphers by Mozilla harden connections secured with SSL/TLS certificates (website, mail, Plesk, and so on).

Prudence: Before turning these features on, make sure that your website can be accessed via HTTPS without any issues. Otherwise, visitors may have trouble accessing your website.

Note: Si vous avez déjà configuré HSTS ou OCSP stapling manuellement sur votre serveur Web, supprimez ces personnalisations avant d’activer HSTS ou OCSP stapling dans SSL It!

Pour améliorer la sécurité de vos sites Web et des connexions serveur chiffrées :

  1. Sécurisez votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance.

  2. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  3. If you have upgraded to Plesk Obsidian from earlier Plesk versions, turn on Redirect from http to https. The redirect will be also applied for webmail by default. On clean Plesk Obsidian installations, the redirect for the domain and webmail is already turned on by default.

    Note: If your webmail is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.

  4. Enable HSTS.

    Note: If your SSL/TLS certificate expires earlier than the Max-age period but you still want to use HSTS, we recommend that you turn on « Keep websites secured ». Then when the SSL/TLS certificate expires, SSL It! will automatically issue a free one from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. The website will be continuously secured and HSTS will continue working.

  5. Turn on OCSP Stapling.

  6. Enable TLS versions and ciphers by Mozilla.

Une fois que vous avez renforcé la sécurité SSL de votre site Web et de votre serveur, vous pouvez évaluer la sécurité SSL de votre site Web.

Note: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has already been secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

Pour voir les détails sur l’utilisation de SSL It! via la CLI, exécutez la commande plesk ext sslit --help.

Enabling HSTS

  1. Activez HSTS.
  2. Make sure that the SSL/TLS certificate that secures your website will be valid during the Max-age period. Do the same for subdomains and the webmail subdomain.

Avertissement: If the SSL/TLS certificate expires earlier than the Max-age period and HSTS is turned on, visitors won’t be able to access your website.

  1. If your subdomains are not secured with valid SSL/TLS certificates or you do not have any subdomains, clear the Include subdomains checkbox.
  2. If your webmail subdomain is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.
  3. Cliquez sur Activer HSTS.

Enabling TLS Versions and Сiphers by Mozilla

  1. Go to Extensions > the My Extensions tab > click Open next to SSL It!
  2. Under TLS versions and ciphers by Mozilla, turn on the toggle.
  3. Keep Intermediate (recommended), and then click Enable & Sync.
  4. To stay current, click Sync now once every few months.

Problèmes connus et limitations

  • OCSP stapling fonctionne uniquement pour les sites Web servis par Nginx avec Apache ou uniquement Nginx. Si vos sites Web sont servis uniquement par Apache, vous n’avez pas besoin d’activer « OCSP stapling ».
  • OCSP stapling ne fonctionne pas pour les certificats SSL/TLS de certains vendeurs (Par exemple, les certificats gratuits de DigiCert) si la chaîne de confiance intégrale n’est pas mise en place. Pour vérifier si vos certificats prennent en charge OCSP stapling, exécutez le test SSL Labs sur votre configuration SSL.
  • La synchronisation automatique des versions et des chiffrements TLS par Mozilla n’est pas prise en charge actuellement.

Évaluer la sécurité SSL de votre site Web

Les moteurs de recherche populaires (par exemple : Google) classent mieux les sites Web avec une meilleure protection SSL. Dans l’extension SSL It!, vous pouvez exécuter l’un des services de test populaires, Qualys SSL Labs, pour qu’il :

  • Vérifie le niveau de protection SSL de votre site Web.
  • Vérifie les améliorations possibles.
  • Atteigne le score le plus élevé, A+ (après avoir renforcé la protection SSL si nécessaire).

Pour évaluer la sécurité SSL de votre site Web :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
  2. Click Run SSL Labs Test.

Le site Web Qualys SSL Labs s’ouvre dans un nouvel onglet et le test démarre automatiquement. Patientez jusqu’à fin du test pour recevoir votre note. Cela peut prendre quelques minutes.

Si vous avez sécurisé votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance, et si vous avez activé toutes les fonctionnalités fournies par SSL It!, votre score sera probablement A+.

Personnaliser la liste des certificats SS/TLS offerts par SSL It!

Par défaut, lorsque vous voulez sécuriser un domaine avec un certificat SSL/TLS et que vous utilisez SSL It!, vous voyez quatre certificats SSL/TLS émis par diverses autorités de certification disponibles à l’installation. Mais il y en a d’autres.

SSL It! dispose d’une liste de certificats SSL/TLS disponibles à l’installation. Vous pouvez choisir ceux qui seront visibles dans l’interface SSL It! pour vous, vos clients et vos revendeurs, soit depuis l’interface SSL It!, soit via la CLI.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the SSL It! interface:

  1. Go to Extensions > My Extensions tab > click Open next to SSL It!.
  2. Next to SSL/TLS Certificates, click Configure.
  3. Select the desired SSL/TLS certificates, and then click Save.

Vous, vos clients et vos revendeurs, verrez uniquement les certificats SSL Il! sélectionnés dans l’interface SSL It!.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the CLI:

  1. Connect to the Plesk server via SSH.

  2. Get the full list of available SSL/TLS certificates by running the following command:

    plesk ext sslit --product -list
    
  3. Copiez les ID du fournisseur et du produit des certificats SSL/TLS que vous voulez ajouter à la liste ou supprimer :

    image product list

  4. Pour personnaliser la liste des certificats SSL/TLS, utilisez les commandes CLI des modèles suivants :

    • Pour ajouter un certificat SSL/TLS à la liste :

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • Pour supprimer un certificat SSL/TLS de la liste :

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • Pour réinitialiser la liste des certificats SSL/TLS par défaut :

      plesk ext sslit --product -reset-to-defaults
      

    Par exemple, si vous souhaitez ajouter le certificat ssl-web-server-ev de Thawte à la liste, exécutez la commande suivante :

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  5. Répétez les commandes décrites ci-dessus jusqu’à ce que vous obteniez la liste souhaitée des certificats SSL/TLS disponibles.

Note: Si vous vendez des certificats SSL/TLS et si vous voulez intégrer ces certificats et les vendre dans l’extension SSL It!, contactez nous par mail : plesk-extensions@plesk.com. Nous vous indiquerons comment vous lancer dans l’écriture de votre propre extension pour intégrer les certificats SSL/TLS et nous vous guiderons jusqu’à ce qu’ils soient disponibles à l’achat dans l’extension SSL It!.

Amélioration de la probabilité d’émission de certificats avec SSL It!

SSL It! comporte une fonctionnalité par défaut qui réduit significativement le nombre de cas lors desquels les certificats SSL/TLS Let’s encrypt ne peuvent pas être émis en raison de configurations de domaines non compatibles.

Lorsque vous obtenez un certificat SSL/TLS de Let’s Encrypt, leurs serveurs doivent valider que vous contrôlez les noms de domaines dans les certificats. Pour cela, Let’s Encrypt dispose de « challenges » : Let’s Encrypt donne un fichier token que Plesk place dans http://<your_domain>/.well-known/acme-challenge/<token>. Nous appelons ce répertoire le « répertoire commun challenge ». L’émission du certificat échoue si ce répertoire n’est pas accessible. Cela peut se produire dans les configurations suivantes :

Lorsque SSL It! est installée, l’extension s’assure que le répertoire de challenge commun est pris en charge et accessible, même si certaines configurations incompatibles sont détectées. Le fonctionnalité « répertoire commun challenge » est activée par défaut dans Plesk pour Linux et dans Plesk pour Windows.

Le cas échéant, vous pouvez désactiver la fonctionnalité CLI en exécutant la commande suivante :

plesk ext sslit --common-challenge-dir –disable.

Toutefois, nous vous recommandons de laisser le répertoire de challenge commun activé.

Si vous avez procédé à une mise à jour vers SSL It! 1.4.0 depuis une version antérieure, le répertoire commun « challenge » est activé automatiquement sauf si le paramètre use-common-challenge-dir a été désactivé dans panel.ini. Si l’option a été désactivée, vous devez activer manuellement la prise en charge à l’aide de la commande suivante :

plesk ext sslit --common-challenge-dir –enable.

À compter de SSL It! 1.4.0, le paramètre use-common-challenge-dir est déprécié.