Guarda il video tutorial

The SSL It! extension offers a single interface for keeping your websites secured with SSL/TLS certificates from the trusted certificate authorities (CAs) Let’s Encrypt and DigiCert (Symantec, GeoTrust, and RapidSSL brands) or with any other SSL/TLS certificate of your choice. Using the extension, you can also do the following:

  • Aumenta la sicurezza dei visitatori del tuo sito web reindirizzandoli da HTTP a HTTPS.
  • Proteggi i visitatori del tuo sito web impedendo l’accesso dei browser web tramite connessioni HTTP non sicure.
  • Proteggi la riservatezza dei visitatori del tuo sito web e migliora le prestazioni del sito stesso tramite l’associazione OCSP.
  • Rendi più sicure le connessioni crittografate con certificati SSL/TLS utilizzando protocolli e cifre generati da Mozilla.

Per iniziare con SSL It!

Take into account the following:

  • The SSL It! extension is installed by default.
  • Per trarre vantaggio da tutte le funzionalità di SSL It!, assicurati che siano installate anche le versioni più recenti delle estensioni DigiCert SSL e Let’s Encrypt.

To manage an SSL/TLS certificate of a domain, go to Websites & Domains > your domain. You can see the current security status of the domain under «SSL/TLS Certificates»:

image status

Protezione di siti web mediante certificati SSL/TLS

With the SSL It! extension, you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

Per proteggere un sito web mediante un certificato SSL/TLS gratuito di Let’s Encrypt:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.

  2. Under «More options», click Install:

    image install_button

  3. Specifica l’indirizzo e-mail da utilizzare per le notifiche urgenti e il recupero delle chiavi perse.

  4. Seleziona cosa desideri proteggere oltre al dominio principale:

    • Secure the main domain name. Secure only the main domain. If you want to secure only the webmail, you can clear the checkbox.
    • Secure the wildcard domain (including www and webmail). Secure the www subdomain and/or domain aliases, and the webmail.
    • Include a «www» subdomain for the domain and each selected alias. Secure the www subdomain and/or domain aliases.
    • Secure webmail on this domain. Secure the webmail.
    • Assign the certificate to mail domain. Secure the mail with the IMAP, POP, or SMTP protocol. If you have the www subdomain and/or domain aliases, select the Include a «www» subdomain for the domain and each selected alias checkbox.
  5. Fai clic su Ottieni gratis.

Un certificato SSL/TLS di Let’s Encrypt verrà generato e installato automaticamente.

Nota: If you secure a domain with an SSL/TLS certificate from Let’s Encrypt and then add new domains, subdomains, domain aliases, or webmail to the subscription, you can have SSL It! automatically secure them by reissuing the SSL/TLS certificate from Let’s Encrypt. To do so, go to Websites & Domains > your domain > SSL/TLS Certificates and turn on the Keep websites secured option.

Per ottenere un certificato SSL/TLS a pagamento:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.

  2. To get the list of available certificates, click Get Certificates:

    image Get_Certificates_Button

  3. Select the SSL/TLS certificate you want to buy and click the Buy button in the certificate’s form. .. note:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the **Recommended**, **Wildcard**, and
        **For organization use** filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  5. Сlose the pop-up window.

  6. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  7. Una volta elaborato il pagamento, fai clic su Inserisci dati richiesti.

    image payment received

  8. Fill in the required contact information, and then click OK.

Ora Plesk crea automaticamente una richiesta di firma di significato (CSR), quindi riceve e installa il certificato SSL/TLS. La procedura può richiedere tempo, in base al tipo di certificato SSL/TLS. Puoi aggiornare manualmente lo stato del certificato SSL/TLS facendo clic su Ricarica oppure puoi attendere che Plesk lo faccia automaticamente (Plesk controlla lo stato dei certificati SSL/TLS ogni ora).

Nota: Alcuni tipi di certificati SSL/TLS (ad esempio, EV) richiedono ulteriori azioni da parte tua. Potresti dover rispondere a una chiamata telefonica o a un’e-mail e, inoltre, inviare i documenti necessari per consentire alla CA di convalidare la tua domanda.

Dopo l’installazione del certificato SSL/TLS, la schermata Siti web e domini > il tuo dominio > Certificati SSL/TLS mostra le informazioni sul certificato SSL/TLS installato (nome, autorità di certificazione, indirizzo e-mail, e così via), i componenti protetti e altre opzioni («Reindirizzamento da HTTP a HTTPS», «HSTS», e così via).

Securing Websites via CLI

You can also secure websites with wildcard SSL/TLS certificates via the CLI. Execute the following CLI commands:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

and then

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

The first command creates a wildcard certificate order, while the second one completes the order and issues the certificate.

Caricamento di certificati SSL/TLS

You may want to upload an SSL/TLS certificate in the following cases:

  • You already have a certificate that you want to use to secure your domain.
  • Vuoi installare un certificato che non è possibile ottenere con SSL It!.

Per caricare un certificato SSL/TLS:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS, quindi fai clic su Carica.

    image upload

  2. Individua il file .pem del certificato SSL/TLS da caricare, quindi fai clic su Apri.

Il certificato SSL/TLS verrà installato automaticamente nel dominio.

Rinnovo di certificati SSL/TLS installati

Per garantire una protezione costante del tuo sito web, è necessario rinnovare puntualmente il certificato SSL/TLS installato. L’estensione SSL It! può aiutarti in questo senso.

SSL It! rinnova automaticamente i certificati SSL/TLS gratuiti di Let’s Encrypt e DigiCert con 30 giorni di anticipo sulla scadenza.

image renew

SSL It! cannot automatically renew paid SSL/TLS certificates. However, you can do the following:

  • Generarli di nuovo manualmente.
  • Impostare SSL It! in modo che sostituisca automaticamente i certificati SSL/TLS scaduti con certificati gratuiti di Let’s Encrypt.

Per generare nuovamente i certificati SSL/TLS a pagamento:

  1. Vai a Siti web e domini > il tuo dominio protetto con mediante un certificato SSL/TLS a pagamento che sta per scadere > Certificati SSL/TLS.

  2. Fai clic su Riemetti certificato. Quindi vieni reindirizzato automaticamente al negozio online di Plesk.

  3. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  4. Сlose the pop-up window.

  5. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  6. Una volta elaborato il pagamento, fai clic su Inserisci dati richiesti.

    image payment received

  7. Fill in the required contact information, and then click OK.

Ora Plesk crea automaticamente una richiesta di firma di significato (CSR), quindi riceve e installa il certificato SSL/TLS. La procedura può richiedere tempo, in base al tipo di certificato SSL/TLS. Puoi aggiornare manualmente lo stato del certificato SSL/TLS facendo clic su Ricarica oppure puoi attendere che Plesk lo faccia automaticamente (Plesk controlla lo stato dei certificati SSL/TLS ogni ora).

Per sostituire automaticamente i certificati SSL/TLS a pagamento scaduti con certificati gratuiti di Let’s Encrypt:

  1. Vai a Siti web e domini > il tuo dominio protetto con mediante un certificato SSL/TLS a pagamento che sta per scadere > Certificati SSL/TLS.
  2. Turn on Keep websites secured.

Now when your paid SSL/TLS certificate expires, SSL It! automatically issues a free SSL/TLS certificate from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. It usually happens no later than one hour after the SSL/TLS certificate expires.

Annullamento dell’assegnazione di certificati SSL/TLS

  1. Vai a Siti web e domini > il dominio per cui vuoi annullare l’assegnazione del certificato SSL/TLS > Certificati SSL/TLS.
  2. Click Unassign Certificate, and then click OK.

Miglioramento della sicurezza dei siti web e delle connessioni crittografate del server

Proteggere un sito web mediante un certificato SSL/TLS valido emesso da una CA attendibile non è sufficiente per garantire la sicurezza completa. La tecnologia SSL è complessa e offre una varietà di funzioni (algoritmo di crittografia chiave, cifre sicure, HSTS e altro ancora) che possono:

  • Migliorare la sicurezza dei visitatori del tuo sito web.
  • Potenziare le prestazioni del tuo sito web.
  • Rafforzare la sicurezza di tutte le connessioni crittografate del server

Attivando queste funzioni è inoltre possibile migliorare le posizioni dei siti web nelle classifiche dei motori di ricerca:

  • Redirect from http to https sets up a permanent, SEO-safe 301 redirect from the insecure HTTP to the secure HTTPS version of the website and/or webmail.
  • HSTS prohibits web browsers from accessing the website via insecure HTTP connections.
  • OSCP makes the web server request the status of the website’s certificate (can be good, revoked, or unknown) from the CA instead of the visitor’s browser.
  • TLS versions and ciphers by Mozilla harden connections secured with SSL/TLS certificates (website, mail, Plesk, and so on).

Attenzione: Before turning these features on, make sure that your website can be accessed via HTTPS without any issues. Otherwise, visitors may have trouble accessing your website.

Nota: Se hai già impostato manualmente l’associazione OCSP o HSTS nel tuo server web, elimina tali personalizzazioni prima di attivare l’associazione OCSP o HSTS in SSL It!.

Per migliorare la sicurezza dei siti web e delle connessioni crittografate del server:

  1. Proteggi il sito web mediante un certificato SSL/TLS valido, rilasciato da una CA attendibile.

  2. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.

  3. If you have upgraded to Plesk Obsidian from earlier Plesk versions, turn on Redirect from http to https. The redirect will be also applied for webmail by default. On clean Plesk Obsidian installations, the redirect for the domain and webmail is already turned on by default.

    Nota: If your webmail is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.

  4. Enable HSTS.

    Nota: If your SSL/TLS certificate expires earlier than the Max-age period but you still want to use HSTS, we recommend that you turn on «Keep websites secured». Then when the SSL/TLS certificate expires, SSL It! will automatically issue a free one from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. The website will be continuously secured and HSTS will continue working.

  5. Turn on OCSP Stapling.

  6. Enable TLS versions and ciphers by Mozilla.

Dopo aver migliorato la sicurezza SSL del tuo sito web e del server, puoi valutare la sicurezza SSL del sito web stesso.

Nota: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has already been secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

To see details on using SSL It! via the CLI, run the plesk ext sslit --help command.

Enabling HSTS

  1. Attiva HSTS.
  2. Make sure that the SSL/TLS certificate that secures your website will be valid during the Max-age period. Do the same for subdomains and the webmail subdomain.

Avvertimento: If the SSL/TLS certificate expires earlier than the Max-age period and HSTS is turned on, visitors won’t be able to access your website.

  1. If your subdomains are not secured with valid SSL/TLS certificates or you do not have any subdomains, clear the Include subdomains checkbox.
  2. If your webmail subdomain is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.
  3. Fai clic su Abilita HSTS.

Enabling TLS Versions and Сiphers by Mozilla

  1. Go to Extensions > the My Extensions tab > click Open next to SSL It!
  2. Under TLS versions and ciphers by Mozilla, turn on the toggle.
  3. Keep Intermediate (recommended), and then click Enable & Sync.
  4. To stay current, click Sync now once every few months.

Problemi noti e limitazioni

  • Associazione OCSP funziona solo per i siti web serviti da nginx con Apache o solo da nginx. Se i tuoi siti web sono serviti solo da Apache, non è necessario attivare «Associazione OCSP».
  • L’associazione OCSP potrebbe non funzionare per i certificati SSL/TLS rilasciati da determinati fornitori (ad esempio, certificati gratuiti di DigiCert) se non è operativa l’intera catena di certificati. Per verificare se il tuo certificato supporta l’associazione OCSP, esegui il test di SSL Labs sulla tua configurazione SSL.
  • Attualmente la sincronizzazione automatica delle versioni e cifre TLS di Mozilla non è supportata.

Valutazione della sicurezza SSL del tuo sito web

I motori di ricerca popolari (ad es. Google) assegnano punteggi più alti ai siti web dotati di migliore protezione SSL. Nell’estensione SSL It!, puoi utilizzare uno dei servizi di test più diffusi, Qualys SSL Labs, per le seguenti operazioni:

  • Verifica il livello di protezione SSL del tuo sito web.
  • Scopri cosa si potrebbe migliorare.
  • Ottieni «A+» (se necessario, dopo aver potenziato la protezione SSL), il punteggio più elevato possibile nella classifica dei motori di ricerca.

Per valutare il livello di sicurezza SSL del tuo sito web:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.
  2. Click Run SSL Labs Test.

Il sito web Qualys SSL Labs viene visualizzato in una nuova scheda e il test si avvia automaticamente. Per ricevere il punteggio, attendi il completamento del test. Ciò può richiedere vari minuti.

Se hai protetto il tuo sito web mediante un certificato SSL/TLS valido rilasciato da una CA attendibile e hai attivato tutte le funzionalità a supporto della sicurezza fornite da SSL It!, molto probabilmente riceverai il punteggio A+.

Personalizzazione dell’elenco di certificati SSL/TLS offerti da SSL It!

Per impostazione predefinita, quando desideri proteggere un dominio mediante un certificato SSL/TLS e accedi a SSL It!, visualizzi quattro certificati SSL/TLS da varie CA disponibili per l’installazione. Ma ve ne sono anche altri.

SSL It! comprende un elenco di certificati SSL/TLS disponibili per l’installazione. Puoi scegliere quali certificati rendere visibili per te, per i tuoi clienti e per i tuoi rivenditori nell’interfaccia di SSL It!. Puoi farlo accedendo all’interfaccia di SSL It! o tramite CLI.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the SSL It! interface:

  1. Go to Extensions > My Extensions tab > click Open next to SSL It!.
  2. Next to SSL/TLS Certificates, click Configure.
  3. Select the desired SSL/TLS certificates, and then click Save.

Ora tu, i tuoi clienti e i tuoi rivenditori vedrete solo i certificati selezionati nell’interfaccia di SSL lt!.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the CLI:

  1. Connect to the Plesk server via SSH.

  2. Get the full list of available SSL/TLS certificates by running the following command:

    plesk ext sslit --product -list
    
  3. Copia l’ID del fornitore e del prodotto del certificato SSL/TLS che desideri aggiungere o rimuovere da dall’elenco.

    image product list

  4. Per personalizzare l’elenco dei certificati SSL/TLS, utilizza i comandi CLI dei seguenti modelli:

    • Per aggiungere un certificato SSL/TLS all’elenco:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • Per rimuovere un certificato SSL/TLS dall’elenco:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • Per ripristinare l’elenco predefinito dei certificati SSL/TLS:

      plesk ext sslit --product -reset-to-defaults
      

    Per esempio, se desideri aggiungere il certificato ssl-web-server-ev Thawte all’elenco, esegui il comando riportato di seguito:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  5. Ripeti i comandi sopra descritti più volte fino ad ottenere l’elenco dei certificati SSL/TLS disponibili che desideri.

Nota: If you are a vendor of SSL/TLS certificates and you want them to be integrated and sold in SSL It!, contact us by the email: plesk-extensions@plesk.com. We will tell you how to get started with writing your own extension to integrate the SSL/TLS certificates and guide you until they will be available for purchase in SSL It!.

SSL It! enhanced probability of certificates” issue

SSL It! has a default feature that significantly decreases a number of cases when Let’s Encrypt SSL/TLS certificates cannot be issued because of incompatible domain configurations.

When you get an SSL/TLS certificate from Let’s Encrypt, its servers need to validate that you control the domain names in the certificate. To do so, Let’s Encrypt uses so-called “challenges”: Let’s Encrypt gives a token file that Plesk places to http://<your_domain>/.well-known/acme-challenge/<token>. We call this directory the common challenge directory. The certificate issue will fail if this directory is not accessible. It may happen because of the following configurations:

When installed, SSL It! ensures that the common challenge directory is supported and accessible even if certain incompatible configurations are detected. The feature “common challenge directory support” is enabled by default in Plesk for Linux and Windows.

If necessary, you can turn off the feature via the CLI by running the following command:

plesk ext sslit --common-challenge-dir –disable.

However, we recommend that you keep the common challenge directory support on.

If you have updated to SSL It! 1.4.0 from earlier versions, the common challenge directory support will be turned on automatically unless the use-common-challenge-dir setting was disabled in panel.ini. If the option was disabled, you need to turn on the support manually by running the following command:

plesk ext sslit --common-challenge-dir –enable.

Starting with SSL It! 1.4.0 the use-common-challenge-dir setting is deprecated.