Guarda il video tutorial

L’estensione SSL It! offre una singola interfaccia per mantenere sicuri i siti web mediante certificati SSL/TLS rilasciati dalle autorità di certificazione (CA) attendibili Let’s Encrypt e DigiCert (marchi Symantec, GeoTrust e RapidSSL) o tramite qualsiasi altro certificato SSL/TLS a tua scelta. È anche possibile:

  • Aumenta la sicurezza dei visitatori del tuo sito web reindirizzandoli da HTTP a HTTPS.
  • Proteggi i visitatori del tuo sito web impedendo l’accesso dei browser web tramite connessioni HTTP non sicure.
  • Proteggi la riservatezza dei visitatori del tuo sito web e migliora le prestazioni del sito stesso tramite l’associazione OCSP.
  • Rendi più sicure le connessioni crittografate con certificati SSL/TLS utilizzando protocolli e cifre generati da Mozilla.

Per iniziare con SSL It!

  1. L’estensione SSL It! è già installata per impostazione predefinita.
  2. Per trarre vantaggio da tutte le funzionalità di SSL It!, assicurati che siano installate anche le versioni più recenti delle estensioni DigiCert SSL e Let’s Encrypt.

Per gestire un certificato SSL/TLS di un dominio, accedi a Siti web e domini > il tuo dominio. Puoi verificare lo stato di sicurezza attuale del dominio in Certificati SSL/TLS:

image-status.png

Protezione di siti web mediante certificati SSL/TLS

L’estensione SSL It! consente di proteggere siti web mediante certificati SSL/TLS gratuiti e a pagamento (al momento sono esclusivamente di DigiCert) e, inoltre, tramite certificati già in tuo possesso.

Per proteggere un sito web mediante un certificato SSL/TLS gratuito di Let’s Encrypt:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.
  2. Fai clic su Ottieni gratis in «Protezione entry-level».
  3. Specifica l’indirizzo e-mail da utilizzare per le notifiche urgenti e il recupero delle chiavi perse.
  4. Seleziona cosa desideri proteggere oltre al dominio principale:
    • Se disponi di un sottodominio www e/o di alias di dominio, seleziona la casella di controllo «Includi un sottodominio «www» per il dominio e per ciascun alias selezionato».
    • Se utilizzi la webmail, seleziona la casella di controllo «Proteggi la webmail in questo dominio».
    • Se disponi di tutti gli elementi sopra indicati e, inoltre, di altri sottodomini, seleziona il pulsante di opzione «Proteggi il dominio wildcard (inclusi WWW e Webmail)».
  5. Fai clic su Ottieni gratis.

Un certificato SSL/TLS di Let’s Encrypt verrà generato e installato automaticamente.

Nota: Se proteggi un dominio mediante un certificato SSL/TLS di Let’s Encrypt, quindi aggiungi all’abbonamento nuovi domini, sottodomini, alias di dominio o webmail, puoi fare in modo che SSL It! li protegga automaticamente generando di nuovo il certificato SSL/TLS di Let’s Encrypt. A tale scopo, accedi a Siti web e domini > il tuo dominio > Certificati SSL/TLS e attiva l’opzione «Mantieni i siti web sicuri».

Per ottenere un certificato SSL/TLS a pagamento:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.

  2. Trova il certificato SSL/TLS che desideri acquistare. Per ulteriori informazioni sul certificato (periodo di validità, tipo di convalida, e così via), fai clic su «Mostra dettagli». Una volta effettuata una scelta, fai clic su Acquista adesso. Quindi vieni reindirizzato automaticamente al negozio online di Plesk.

  3. Indica il tuo indirizzo e i tuoi dati di pagamento, quindi acquista il certificato.

  4. Torna a Plesk (utilizza il pulsante Indietro del browser).

  5. L’elaborazione del pagamento richiede un po’ di tempo. Per aggiornare lo stato del pagamento, fai clic su Ricarica. Plesk aggiorna automaticamente ogni ora lo stato del pagamento.

    image-waiting-payment.png

  6. Una volta elaborato il pagamento, fai clic su Inserisci dati richiesti.

    image-payment-received.png

  7. Inserisci i recapiti richiesti e fai clic su OK.

  8. Ora Plesk crea automaticamente una richiesta di firma di significato (CSR), quindi riceve e installa il certificato SSL/TLS. La procedura può richiedere tempo, in base al tipo di certificato SSL/TLS. Puoi aggiornare manualmente lo stato del certificato SSL/TLS facendo clic su Ricarica oppure puoi attendere che Plesk lo faccia automaticamente (Plesk controlla lo stato dei certificati SSL/TLS ogni ora).

Nota: Alcuni tipi di certificati SSL/TLS (ad esempio, EV) richiedono ulteriori azioni da parte tua. Potresti dover rispondere a una chiamata telefonica o a un’e-mail e, inoltre, inviare i documenti necessari per consentire alla CA di convalidare la tua domanda.

Dopo l’installazione del certificato SSL/TLS, la schermata Siti web e domini > il tuo dominio > Certificati SSL/TLS mostra le informazioni sul certificato SSL/TLS installato (nome, autorità di certificazione, indirizzo e-mail, e così via), i componenti protetti e altre opzioni («Reindirizzamento da HTTP a HTTPS», «HSTS», e così via).

Caricamento di certificati SSL/TLS

Può essere opportuno caricare un certificato SSL/TLS se:

  • Ne hai già uno da utilizzare per proteggere il duo dominio.
  • Vuoi installare un certificato che non è possibile ottenere con SSL It!.

Per caricare un certificato SSL/TLS:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS, quindi fai clic su Carica.

    image-upload.png

  2. Individua il file .pem del certificato SSL/TLS da caricare, quindi fai clic su Apri.

Il certificato SSL/TLS verrà installato automaticamente nel dominio.

Rinnovo di certificati SSL/TLS installati

Per garantire una protezione costante del tuo sito web, è necessario rinnovare puntualmente il certificato SSL/TLS installato. L’estensione SSL It! può aiutarti in questo senso.

SSL It! rinnova automaticamente i certificati SSL/TLS gratuiti di Let’s Encrypt e DigiCert con 30 giorni di anticipo sulla scadenza.

image-renew.png

SSL It! non è in grado di rinnovare automaticamente i certificati SSL/TLS a pagamento. Tuttavia è possibile:

  • Generarli di nuovo manualmente.
  • Impostare SSL It! in modo che sostituisca automaticamente i certificati SSL/TLS scaduti con certificati gratuiti di Let’s Encrypt.

Per generare nuovamente i certificati SSL/TLS a pagamento:

  1. Vai a Siti web e domini > il tuo dominio protetto con mediante un certificato SSL/TLS a pagamento che sta per scadere > Certificati SSL/TLS.

  2. Fai clic su Riemetti certificato. Quindi vieni reindirizzato automaticamente al negozio online di Plesk.

  3. Indica il tuo indirizzo e i tuoi dati di pagamento, quindi acquista il certificato.

  4. Torna a Plesk (utilizza il pulsante Indietro del browser).

  5. L’elaborazione del pagamento richiede un po’ di tempo. Per aggiornare lo stato del pagamento, fai clic su Ricarica. Plesk aggiorna automaticamente ogni ora lo stato del pagamento.

    image-waiting-payment.png

  6. Una volta elaborato il pagamento, fai clic su Inserisci dati richiesti.

    image-payment-received.png

  7. Inserisci i recapiti richiesti e fai clic su OK.

  8. Ora Plesk crea automaticamente una richiesta di firma di significato (CSR), quindi riceve e installa il certificato SSL/TLS. La procedura può richiedere tempo, in base al tipo di certificato SSL/TLS. Puoi aggiornare manualmente lo stato del certificato SSL/TLS facendo clic su Ricarica oppure puoi attendere che Plesk lo faccia automaticamente (Plesk controlla lo stato dei certificati SSL/TLS ogni ora).

Per sostituire automaticamente i certificati SSL/TLS a pagamento scaduti con certificati gratuiti di Let’s Encrypt:

  1. Vai a Siti web e domini > il tuo dominio protetto con mediante un certificato SSL/TLS a pagamento che sta per scadere > Certificati SSL/TLS.
  2. Attiva «Mantieni i siti web sicuri».

Ora, quando il tuo certificato SSL/TLS a pagamento scadrà, SSL It! genererà automaticamente un certificato SSL/TLS gratuito di Let’s Encrypt per proteggere domini, sottodomini, alias di dominio e webmail appartenenti all’abbonamento. Ciò dovrebbe accadere non oltre un’ora dopo la scadenza del certificato SSL/TLS.

Annullamento dell’assegnazione di certificati SSL/TLS

  1. Vai a Siti web e domini > il dominio per cui vuoi annullare l’assegnazione del certificato SSL/TLS > Certificati SSL/TLS.
  2. Fai clic su Annulla assegnazione certificato, quindi su OK.

Miglioramento della sicurezza dei siti web e delle connessioni crittografate del server

Proteggere un sito web mediante un certificato SSL/TLS valido emesso da una CA attendibile non è sufficiente per garantire la sicurezza completa. La tecnologia SSL è complessa e offre una varietà di funzioni (algoritmo di crittografia chiave, cifre sicure, HSTS e altro ancora) che possono:

  • Migliorare la sicurezza dei visitatori del tuo sito web.
  • Potenziare le prestazioni del tuo sito web.
  • Rafforzare la sicurezza di tutte le connessioni crittografate del server

Attivando queste funzioni è inoltre possibile migliorare le posizioni dei siti web nelle classifiche dei motori di ricerca:

  • «Reindirizzamento da HTTP a HTTPS» imposta un reindirizzamento 301 SEO-sicuro permanente dalla versione HTTP non sicura alla versione HTTPS sicura del sito web e/o della webmail.
  • HSTS impedisce ai browser web di accedere al sito web utilizzando connessioni HTTP non sicure.
  • OSCP forza il server web a richiedere alla CA lo stato del certificato del sito web (che potrà essere valido, revocato o sconosciuto) al posto del browser del visitatore.
  • Le versioni e le cifre TLS di Mozilla salvaguardano le connessioni protette da certificati SSL/TLS (sito web, posta, Plesk e così via).

Attenzione: Prima di attivare queste funzioni, assicurati che il tuo sito web sia accessibile tramite HTTPS senza problemi. In caso contrario, i visitatori potrebbero non riuscire facilmente ad accedere al sito web.

Nota: Se hai già impostato manualmente l’associazione OCSP o HSTS nel tuo server web, elimina tali personalizzazioni prima di attivare l’associazione OCSP o HSTS in SSL It!.

Per migliorare la sicurezza dei siti web e delle connessioni crittografate del server:

  1. Proteggi il sito web mediante un certificato SSL/TLS valido, rilasciato da una CA attendibile.

  2. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.

  3. Se hai effettuato l’aggiornamento a Plesk Obsidian dalle versioni precedenti di Plesk, attiva «Reindirizzamento da HTTP a HTTPS». Il reindirizzamento verrà applicato anche alla webmail, per impostazione predefinita. Nelle installazioni pulite di Plesk Obsidian, il reindirizzamento per il dominio e la webmail è già attivo per impostazione predefinita.

    Nota: Se la tua webmail non è protetta mediante un certificato SSL/TLS valido o se non disponi di un servizio webmail, deseleziona la casella di controllo «Includi webmail».

  4. Abilita HSTS:

    1. Attiva HSTS.

    2. Verifica che il certificato SSL/TLS che protegge il tuo sito web sia valido durante il periodo di «Età massima». Esegui la stessa operazione per i sottodomini e il sottodominio della webmail. In caso contrario, se il certificato SSL/TLS scade prima del periodo di «Età massima» e la funzione HSTS è attiva, i visitatori non saranno in grado di accedere al sito web.

    3. Se i tuoi sottodomini non sono protetti mediante un certificato SSL/TLS valido o se non disponi di sottodomini, deseleziona la casella di controllo «Includi sottodomini».

    4. Se il sottodominio della tua webmail non è protetto mediante un certificato SSL/TLS valido o se non disponi di un servizio webmail, deseleziona la casella di controllo «Includi webmail».

    5. Fai clic su Abilita HSTS.

      Nota: Se il tuo certificato SSL/TLS scade prima del periodo di «Età massima» ma desideri continuare a utilizzare HSTS, ti consigliamo di attivare l’opzione «Mantieni i siti web sicuri». Quindi, alla scadenza del certificato SSL/TLS, SSL It! genererà automaticamente un certificato gratuito di Let’s Encrypt per proteggere domini, sottodomini, alias di dominio e webmail appartenenti all’abbonamento. Il sito web sarà protetto costantemente e HSTS continuerà a funzionare.

  5. Attiva «Associazione OCSP».

  6. Abilita versioni e cifre TLS di Mozilla:

    1. Vai a Estensioni > scheda «Le mie estensioni» > fai clic su Apri accanto a SSL It!.
    2. Attiva «Versioni e cifre TLS di Mozilla», mantieni «Intermedia (consigliata)», quindi fai clic su Abilita e sinc.
    3. Per tenerti aggiornato, fai clic su «Sincronizza ora» a intervalli di qualche mese.

Dopo aver migliorato la sicurezza SSL del tuo sito web e del server, puoi valutare la sicurezza SSL del sito web stesso.

Problemi noti e limitazioni

  • Associazione OCSP funziona solo per i siti web serviti da nginx con Apache o solo da nginx. Se i tuoi siti web sono serviti solo da Apache, non è necessario attivare «Associazione OCSP».
  • L’associazione OCSP potrebbe non funzionare per i certificati SSL/TLS rilasciati da determinati fornitori (ad esempio, certificati gratuiti di DigiCert) se non è operativa l’intera catena di certificati. Per verificare se il tuo certificato supporta l’associazione OCSP, esegui il test di SSL Labs sulla tua configurazione SSL.
  • Attualmente la sincronizzazione automatica delle versioni e cifre TLS di Mozilla non è supportata.

Valutazione della sicurezza SSL del tuo sito web

I motori di ricerca popolari (ad es. Google) assegnano punteggi più alti ai siti web dotati di migliore protezione SSL. Nell’estensione SSL It!, puoi utilizzare uno dei servizi di test più diffusi, Qualys SSL Labs, per le seguenti operazioni:

  • Verifica il livello di protezione SSL del tuo sito web.
  • Scopri cosa si potrebbe migliorare.
  • Ottieni «A+» (se necessario, dopo aver potenziato la protezione SSL), il punteggio più elevato possibile nella classifica dei motori di ricerca.

Per valutare il livello di sicurezza SSL del tuo sito web:

  1. Vai a Siti web e domini > il tuo dominio > Certificati SSL/TLS.
  2. Fai clic su «Esegui test di laboratorio SSL».

Il sito web Qualys SSL Labs viene visualizzato in una nuova scheda e il test si avvia automaticamente. Per ricevere il punteggio, attendi il completamento del test. Ciò può richiedere vari minuti.

Se hai protetto il tuo sito web mediante un certificato SSL/TLS valido rilasciato da una CA attendibile e hai attivato tutte le funzionalità a supporto della sicurezza fornite da SSL It!, molto probabilmente riceverai il punteggio A+.

Personalizzazione dell’elenco di certificati SSL/TLS offerti da SSL It!

Per impostazione predefinita, quando desideri proteggere un dominio mediante un certificato SSL/TLS e accedi a SSL It!, visualizzi quattro certificati SSL/TLS da varie CA disponibili per l’installazione. Ma ve ne sono anche altri.

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

(Via the SSL It! interface) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. Vai a Estensioni > scheda «Le mie estensioni» > fai clic su Apri accanto a SSL It!.
  2. Next to «SSL/TLS Certificates», click «Configure».
  3. Select the desired SSL/TLS certificates and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

(Via the CLI) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. Connettiti al server di Plesk tramite SSH ed esegui questo comando per ottenere l’elenco completo dei certificati SSL/TLS disponibili:

    plesk ext sslit --product -list
    
  2. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image-product-list.png

  3. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

Nota: Se sei un fornitore di certificati SSL/TLS e desideri integrare e vendere tali certificati in SSL It!, contattaci all’indirizzo e-mail: extension@plesk.com. Ti spiegheremo come iniziare, a partire dalla creazione di una tua estensione per integrare i certificati SSL/TLS, e ti guideremo finché tali certificati non saranno disponibili per l’acquisto in SSL It!.