Смотреть видеоурок

Расширение SSL It! предоставляет единый интерфейс для защиты ваших сайтов с помощью SSL/TLS-сертификатов от доверенных центров сертификации Let’s Encrypt и DigiCert (бренды Symantec, GeoTrust и RapidSSL) или любого другого SSL/TLS-сертификата по вашему выбору. Кроме того, вы можете:

  • повысить безопасность посетителей вашего сайта с помощью перенаправлений с HTTP на HTTPS;
  • защитить посетителей вашего сайта, запретив в браузерах незащищенные подключения к сайтам по HTTP;
  • обеспечить конфиденциальность данных ваших посетителей и повысить производительность сайтов с помощью OCSP Stapling (прикрепления OCSP-ответа);
  • повысить безопасность соединений, защищенных SSL/TLS-сертификатами, с помощью протоколов и шифров, созданных Mozilla.

Начало работы с SSL It!

  1. Расширение SSL It! уже установлено в Plesk по умолчанию.
  2. Чтобы воспользоваться всеми возможностями SSL It!, убедитесь, что у вас также установлены последние версии расширений DigiCert SSL и Let’s Encrypt.

Для управления SSL/TLS-сертификатом домена перейдите в раздел Сайты и домены > ваш домен. Вы можете видеть текущий статус безопасности домена под надписью «SSL/TLS-сертификаты»:

image status

Защита сайтов с помощью SSL/TLS-сертификатов

Расширение SSL It! позволяет защищать сайты с помощью бесплатных или платных (в настоящий момент только от DigiCert) SSL/TLS-сертификатов, а также с помощью ваших собственных SSL/TLS-сертификатов.

Чтобы защитить сайт с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.
  2. Нажмите Получить бесплатно в разделе «Начальная защита».
  3. Укажите адрес электронной почты для срочных уведомлений и восстановления утерянных ключей.
  4. Выберите, что именно вы хотите защитить в дополнение к основному домену:
    • Если у вас есть субдомен с префиксом «www» и/или псевдонимы домена, установите флажок «Защитить субдомен с префиксом «www» для этого домена и каждого выбранного псевдонима».
    • Если вы используете веб-почту, установите флажок «Защитить веб-почту на этом домене».
    • Если у вас есть все вышеперечисленное, а также другие субдомены, выберите опцию «Защитить подстановочный домен (включая субдомены с префиксами «www» и «webmail»)».
  5. Нажмите Получить бесплатно.

SSL/TLS-сертификат от Let’s Encrypt будет выпущен и автоматически установлен.

Примечание: Если вы защитили домен с помощью SSL/TLS-сертификата от Let’s Encrypt, а затем добавили в подписку новые домены, субдомены, псевдонимы доменов или веб-почту, вы можете дать указание SSL It! автоматически защитить их путем перевыпуска SSL/TLS-сертификата от Let’s Encrypt. Для этого перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты и включите опцию «Обеспечить защиту сайтов».

Чтобы получить платный SSL/TLS-сертификат:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

  2. Найдите SSL/TLS-сертификат, который хотите купить. Чтобы узнать больше о сертификате (период действия, тип проверки и так далее), нажмите «Подробнее». Когда определитесь с выбором сертификата, нажмите Купить сейчас. Вы будете автоматически перенаправлены в интернет-магазин Plesk.

  3. Введите свой адрес и платежную информацию, а затем купите сертификат.

  4. Вернитесь в Plesk (с помощью кнопки «Назад» в браузере).

  5. Обработка платежа займет некоторое время. Чтобы обновить статус платежа, нажмите Обновить. Plesk автоматически обновляет статус платежа раз в час.

    image waiting payment

  6. Как только платеж будет обработан, нажмите Ввести необходимые данные.

    image payment received

  7. Введите необходимую контактную информацию и нажмите OK.

  8. Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Примечание: Некоторые типы SSL/TLS-сертификатов (например, EV) требуют дополнительных действий с вашей стороны. Возможно, вам будет необходимо ответить на телефонный звонок или письмо, а также отправить необходимые документы, чтобы центр сертификации смог проверить вашу заявку.

Как только SSL/TLS-сертификат будет установлен, на странице Сайты и домены > ваш домен > SSL/TLS-сертификаты будет отображена информация об установленном SSL/TLS-сертификате (имя, центр сертификации, адрес электронной почты и так далее), защищенных компонентах и прочих опциях («Перенаправление с HTTP на HTTPS», «HSTS» и так далее).

Примечание: You can also secure websites with wildcard SSL/TLS certificates via the CLI. To do so, execute the CLI commands of the following pattern:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

and then

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

The first command creates a wildcard certificate order, while the second one completes the order and issues the certificate.

Загрузка SSL/TLS-сертификатов

Вам может понадобиться загрузить SSL/TLS-сертификат в следующих ситуациях:

  • У вас уже есть сертификат, который вы хотите использовать для защиты домена.
  • Вы хотите установить сертификат, который не можете получить с помощью SSL It!.

Чтобы загрузить SSL/TLS-сертификат:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты и нажмите Загрузить.

    image upload

  2. Найдите файл .pem SSL/TLS-сертификата, который хотите загрузить, и нажмите Открыть.

SSL/TLS-сертификат будет автоматически установлен на домене.

Обновление установленных SSL/TLS-сертификатов

Чтобы гарантировать, что ваш сайт находится под непрерывной защитой, вам необходимо периодически обновлять установленный SSL/TLS-сертификат. Расширение SSL It! может вам в этом помочь.

SSL It! автоматически обновляет бесплатные SSL/TLS-сертификаты от Let’s Encrypt и DigiCert за 30 дней до истечения их срока действия.

image renew

SSL It! не может автоматически обновлять платные SSL/TLS-сертификаты. Однако вы можете сделать следующее:

  • перевыпустить их вручную;
  • дать указание SSL It! автоматически заменять просроченные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt.

Чтобы перевыпустить платные SSL/TLS-сертификаты:

  1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.

  2. Нажмите Перевыпустить сетификат. После этого вы будете автоматически перенаправлены в интернет-магазин Plesk.

  3. Введите свой адрес и платежную информацию, а затем купите сертификат.

  4. Вернитесь в Plesk (с помощью кнопки «Назад» в браузере).

  5. Обработка платежа займет некоторое время. Чтобы обновить статус платежа, нажмите Обновить. Plesk автоматически обновляет статус платежа раз в час.

    image waiting payment

  6. Как только платеж будет обработан, нажмите Ввести необходимые данные.

    image payment received

  7. Введите необходимую контактную информацию и нажмите OK.

  8. Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Чтобы автоматически заменять просроченные платные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt:

  1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.
  2. Включите опцию «Обеспечить защиту сайтов».

Теперь, если срок действия вашего платного SSL/TLS-сертификата истечет, SSL It! автоматически выпустит бесплатный SSL/TLS-сертификат от Let’s Encrypt для защиты доменов, псевдонимов доменов и веб-почты, принадлежащих подписке. Это случится не позже, чем через час после истечения срока действия платного SSL/TLS-сертификата.

Удаление SSL/TLS-сертификатов

  1. Перейдите на страницу Сайты и домены > ваш домен, SSL/TLS-сертификат которого вы хотите удалить > SSL/TLS-сертификаты.
  2. Нажмите Удалить сертификат и нажмите OK.

Повышение безопасности ваших сайтов и зашифрованных соединений с сервером

Защитить сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации может быть недостаточно для полной безопасности. SSL ― комплексная технология, которая включает в себя множество возможностей (алгоритм шифрования ключей, безопасные шифры, HSTS и многое другое), которые позволяют сделать следующее:

  • повысить безопасность посетителей сайта,
  • повысить производительность сайта,
  • усилить безопасность всех зашифрованных соединений с сервером.

Включив следующие функции, вы можете поднять поисковый рейтинг вашего сайта:

  • «Перенаправление с HTTP на HTTPS» ― устанавливает постоянное, безопасное для SEO перенаправление с кодом 301 с незащищенной HTTP-версии на защищенную HTTPS-версию сайта и/или веб-почты.
  • HSTS ― запрещает веб-браузерам доступ к сайту через незащищенное HTTP-соединение.
  • OSCP ― дает указание веб-серверу запрашивать статус сертификата сайта у центра сертификации вместо браузера посетителя. Возможные статусы: good (действителен), revoked (отозван) или unknown (не удалось установить статус).
  • Версии и шифры TLS, рекомендуемые Mozilla, укрепляют соединения, защищенные с помощью SSL/TLS-сертификатов (сайтов, почты, Plesk и так далее).

Осторожно: Перед включением этих функций убедитесь, что к вашему сайту можно без проблем подключиться по HTTPS. В противном случае у посетителей могут возникнуть проблемы с доступом к вашему сайту.

Примечание: Если вы уже установили HSTS или OCSP stapling на вашем сервере вручную, удалите эти функции перед включением какой-либо из них в SSL It!.

Чтобы повысить безопасность ваших сайтов и зашифрованных соединений с сервером:

  1. Защитите сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации.

  2. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

  3. Если вы перешли на Plesk Obsidian с одной из ранних версий Plesk, включите опцию «Перенаправление с HTTP на HTTPS». Это перенаправление будет также по умолчанию применено к веб-почте. На чистых установках Plesk Obsidian это перенаправление уже включено для доменов и веб-почты по умолчанию.

    Примечание: Если ваша веб-почта не защищена с помощью действительного SSL/TLS-сертификата или у вас нет веб-почты, снимите флажок «Включить веб-почту».

  4. Включите HSTS:

    1. Включите HSTS.

    2. Убедитесь, что SSL/TLS-сертификат, который защищает ваш сайт, будет действителен в течение периода времени, указанного в поле «Максимальный возраст». Проверьте также, что это верно для субдоменов и веб-почты. В противном случае, если срок дейтсвия SSL/TLS-сертификата истечет раньше окончания периода времени «Максимальный возраст», а функция HSTS будет включена, посетители не смогут зайти на ваш сайт.

    3. Если ваши субдомены не защищены с помощью действительных SSL/TLS-сертификатов или у вас нет субдоменов, снимите флажок «Включить субдомены».

    4. Если субдомен вашей веб-почты не защищен с помощью действительного SSL/TLS-сертификата или у вас нет веб-почты, снимите флажок «Включить веб-почту».

    5. Нажмите Включить HSTS.

      Примечание: Если срок действия вашего SSL/TLS-сертификата истекает до окончания периода времени, указанного в поле «Максимальный возраст», но при этом вы хотите использовать HSTS, мы рекомендуем вам включить опцию «Обеспечить защиту сайтов». Тогда по истечении срока действия SSL/TLS-сертификата SSL It! автоматически выпустит бесплатный сертификат от Let’s Encrypt, чтобы защитить домены, псевдонимы доменов и веб-почту, принадлежащие подписке. Сайт будет непрерывно защищен, и HSTS продолжит работать.

  5. Включите “OCSP Stapling”.

  6. Включите версии и шифры TLS, рекомендуемые Mozilla:

    1. Перейдите в раздел Расширения > вкладка «Мои расширения» > нажмите Открыть для расширения SSL It!.
    2. Включите «Версии и шифры TLS, рекомендуемые Mozilla», оставьте выбранным вариант «Промежуточный (рекомендуется)», а затем нажмите Включить и синхронизировать.
    3. Чтобы поддерживать данные в актуальном состоянии, нажимайте «Синхронизировать сейчас» раз в несколько месяцев.

После того как вы усилите SSL-безопасность сайта и сервера, вы можете оценить уровень SSL-безопасности вашего сайта.

Примечание: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has been already secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

To see details on using SSL It! via the CLI, run the plesk ext sslit --help command.

Известные проблемы и ограничения

  • OCSP stapling (прикрепление OCSP-ответа) работает только для сайтов, которые обслуживаются nginx совместно с Apache или только nginx. Если ваши сайты обслуживаются только Apache, вам не нужно включать функцию «OCSP Stapling».
  • OCSP stapling может не работать для SSL/TLS-сертификатов от некоторых производителей (например, для бесплатных сертификатов от DigiCert), если не установлена полная цепь доверия. Чтобы проверить, поддерживает ли ваш сертификат OCSP stapling, запустите тест SSL Labs на своей конфигурации SSL.
  • Автоматическая синхронизация версий и шрифтов TLS, рекомендованных Mozilla, сейчас не поддерживается.

Оценка безопасности SSL сайта

Популярные поисковые системы (например, Google) присваивают более высокий рейтинг сайтам с более высоким уровнем SSL-защиты. Расширение SSL It! позволяет запустить одну из самых популярных служб тестирования, Qualys SSL Labs, чтобы сделать следующее:

  • проверить, насколько хороша SSL-защита вашего сайта,
  • посмотреть, что можно улучшить,
  • достичь A+, наивысшего показателя безопасности (после усиления SSL-защиты, если это необходимо).

Чтобы оценить безопасность SSL вашего сайта:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.
  2. Нажмите «Запустить проверку с помощью SSL Labs».

Сайт Qualys SSL Labs откроется в новой вкладке, и тестирование начнется автоматически. Дождитесь окончания теста, чтобы получить оценку. Это может занять несколько минут.

Если вы защитили свой сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации и включили все функции повышения безопасности, предоставляемые SSL It!, вы с большой вероятностью получите показатель безопасности A+.

Изменение списка SSL/TLS-сертификатов, предлагаемых SSL It!

По умолчанию, когда вы хотите защитить домен с помощью SSL/TLS-сертификата и переходите в интерфейс SSL It! (раздел «SSL/TLS-certificates»), вы видите четыре доступных SSL/TLS-сертификата от разных центров сертификации. Но на самом деле их больше.

SSL It! предлагает список SSL/TLS-сертификатов, доступных для установки. Вы можете выбрать, какие из них будут отображаться в интерфейсе SSL It! для вас, ваших клиентов и реселлеров. Вы можете сделать это как через интерфейс SSL It!, так и через командную строку.

(Через интерфейс SSL It!) Чтобы изменить список SSL/TLS-сертификатов, доступных для установки в SSL It!:

  1. Перейдите в раздел Расширения > вкладка «Мои расширения» > нажмите Открыть для расширения SSL It!.
  2. Нажмите «Настроить» напротив надписи «SSL/TLS-сертификаты».
  3. Выберите нужные SSL/TLS-сертификаты и нажмите Сохранить.

Теперь вы, ваши клиенты и реселлеры будут видеть в интерфейсе SSL It! только выбранные сертификаты.

(Через командную строку) Чтобы изменить список SSL/TLS-сертификатов, доступных для установки, в SSL It!:

  1. Подключитесь к серверу Plesk по SSH и запустите следующую команду для получения полного списка доступных SSL/TLS-сертификатов:

    plesk ext sslit --product -list
    
  2. Скопируйте идентификаторы поставщика и продукта SSL/TLS-сертификата, который вы хотите добавить в список или удалить из него.

    image product list

  3. Чтобы настроить список SSL/TLS-сертификатов, используйте команды CLI по следующему образцу:

    • Чтобы добавить SSL/TLS-сертификат в список:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • Чтобы удалить SSL/TLS-сертификат из списка:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • Чтобы вернуться к списку SSL/TLS-сертификатов по умолчанию:

      plesk ext sslit --product -reset-to-defaults
      

    Например, если вы хотите добавить в список сертификат ssl-web-server-ev от поставщика Thawte, запустите следующую команду:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Повторите описанные выше команды несколько раз, пока не получите желаемый список доступных SSL/TLS-сертификатов.

Примечание: Если вы ― поставщик SSL/TLS-сертификатов и хотите, чтобы они были интегрированы в расширение SSL It! и продавались с его помощью, напишите нам по адресу: extension@plesk.com. Мы расскажем вам, как создать ваше собственное расширение для интеграции ваших SSL/TLS-сертификатов с SSL It! и поможем вам сделать их доступными для продажи через SSL It!.

SSL It! enhanced probability of certificates“ issue

SSL It! has a default feature that significantly decreases a number of cases when Let’s Encrypt SSL/TLS certificates cannot be issued because of incompatible domain configurations.

When you get an SSL/TLS certificate from Let’s Encrypt, its servers need to validate that you control the domain names in the certificate. To do so, Let’s Encrypt uses so-called “challenges”: Let’s Encrypt gives a token file that Plesk places to http://<your_domain>/.well-known/acme-challenge/<token>. We call this directory the common challenge directory. The certificate issue will fail if this directory is not accessible. It may happen because of the following configurations:

When installed, SSL It! ensures that the common challenge directory is supported and accessible even if certain incompatible configurations are detected. The feature “common challenge directory support” is enabled by default in Plesk for Linux and Windows.

If necessary, you can turn off the feature via the CLI by running the following command:

plesk ext sslit --common-challenge-dir –disable.

However, we recommend that you keep the common challenge directory support on.

If you have updated to SSL It! 1.4.0 from earlier versions, the common challenge directory support will be turned on automatically unless the use-common-challenge-dir setting was disabled in panel.ini. If the option was disabled, you need to turn on the support manually by running the following command:

plesk ext sslit --common-challenge-dir –enable.

Starting with SSL It 1.4.0 the use-common-challenge-dir setting is deprecated.