Расширение SSL It! предоставляет единый интерфейс для защиты ваших сайтов с помощью SSL/TLS-сертификатов от доверенных центров сертификации Let’s Encrypt и DigiCert (бренды Symantec, GeoTrust и RapidSSL) или любого другого SSL/TLS-сертификата по вашему выбору. Используя это расширение, вы также можете делать следующее:

• повысить безопасность посетителей вашего сайта с помощью перенаправлений с HTTP на HTTPS;
• защитить посетителей вашего сайта, запретив в браузерах незащищенные подключения к сайтам по HTTP;
• обеспечить конфиденциальность данных ваших посетителей и повысить производительность сайтов с помощью OCSP Stapling (прикрепления OCSP-ответа);
• повысить безопасность соединений, защищенных SSL/TLS-сертификатами, с помощью протоколов и шифров, созданных Mozilla.

Начало работы с SSL It!

Имейте в виду следующее:

• Расширение SSL It! устанавливается по умолчанию.
• Чтобы воспользоваться всеми возможностями SSL It!, убедитесь, что у вас также установлены последние версии расширений DigiCert SSL и Let’s Encrypt.

Для управления SSL/TLS-сертификатом домена перейдите в раздел Сайты и домены > ваш домен. Вы можете видеть текущий статус безопасности домена под надписью «SSL/TLS-сертификаты»:

Защита сайтов с помощью SSL/TLS-сертификатов

Расширение SSL It! позволяет защищать сайты с помощью бесплатных или платных (в настоящий момент только от DigiCert) SSL/TLS-сертификатов, а также с помощью ваших собственных SSL/TLS-сертификатов.

Чтобы защитить сайт с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

2. В разделе «Показать больше опций» нажмите Установить:

   

3. Укажите адрес электронной почты для срочных уведомлений и восстановления утерянных ключей.

4. Выберите, что именно вы хотите защитить в дополнение к основному домену:

   • Защитить имя основного домена. Защитить только основной домен. Если вы хотите защитить только веб-почту, снимите этот флажок.

   • Защитить подстановочный домен (включая субдомены с префиксами «www» и «webmail»). Защитить субдомен с префиксом «www» и/или псевдонимы домена, а также веб-почту.

   • Защитить субдомен с префиксом «www» для этого домена и каждого выбранного псевдонима. Защитить субдомен с префиксом «www» и/или псевдонимы домена.

   • Защитить веб-почту на этом домене. Защитить веб-почту.

   • Assign the certificate to the mail domain. Secure the mail server connections for this domain. Useful if the mail server is not protected with an SSL/TLS certificate, or if the certificate securing the mail server cannot be verified.

     If you have the www subdomain and/or domain aliases, we recommend that you also select the Include a «www» subdomain for the domain and each selected alias checkbox.

5. Нажмите Получить бесплатно.

SSL/TLS-сертификат от Let’s Encrypt будет выпущен и автоматически установлен.

Чтобы получить платный SSL/TLS-сертификат:

1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

2. Чтобы получить список доступных сертификатов, выберите Получить сертификаты:

   

3. Выберите SSL/TLS-сертификат, который хотите купить, и нажмите кнопку Купить на форме сертификата.

   Примечание: To find an appropriate certificate, you can do the following:

   • Filter the available certificates. You can apply the Recommended, Wildcard, and For organization use filter sets.
   • Read more about a certificate (its validity period, validation type, and so on) by clicking the Learn more button in the certificate’s form.

4. Во всплывающем окне Plesk Online Store введите свой адрес и платежную информацию, а затем купите сертификат.

5. Закройте всплывающее окно.

6. Дождитесь, пока Plesk обновит статус платежа, или обновите его вручную, нажав Перезагрузить. Plesk автоматически обновляет статус платежа раз в час.

   

7. Как только платеж будет обработан, нажмите Ввести необходимые данные.

   

8. Заполните необходимую контактную информацию и нажмите OK.

Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Как только SSL/TLS-сертификат будет установлен, на странице Сайты и домены > ваш домен > SSL/TLS-сертификаты будет отображена информация об установленном SSL/TLS-сертификате (имя, центр сертификации, адрес электронной почты и так далее), защищенных компонентах и прочих опциях («Перенаправление с HTTP на HTTPS», «HSTS» и так далее).

Защита сайтов через CLI

Вы также можете защищать сайты с помощью подстановочных SSL/TLS-сертификатов через CLI. Запустите следующие команды CLI:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

а затем

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

Первая команда создает заказ на подстановочный сертификат, а вторая выполняет этот заказ и выпускает сертификат.

Загрузка SSL/TLS-сертификатов

Вам может понадобиться загрузить SSL/TLS-сертификат в следующих ситуациях:

• У вас уже есть сертификат, который вы хотите использовать для защиты домена.
• Вы хотите установить сертификат, который не можете получить с помощью SSL It!.

Чтобы загрузить SSL/TLS-сертификат:

1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты и нажмите Загрузить.

   

2. Найдите файл .pem SSL/TLS-сертификата, который хотите загрузить, и нажмите Открыть.

SSL/TLS-сертификат будет автоматически установлен на домене.

Обновление установленных SSL/TLS-сертификатов

Чтобы гарантировать, что ваш сайт находится под непрерывной защитой, вам необходимо периодически обновлять установленный SSL/TLS-сертификат. Расширение SSL It! может вам в этом помочь.

SSL It! автоматически обновляет бесплатные SSL/TLS-сертификаты от Let’s Encrypt и DigiCert за 30 дней до истечения их срока действия.

SSL It! не может автоматически обновлять платные SSL/TLS-сертификаты. Однако вы можете сделать следующее:

• перевыпустить их вручную;
• дать указание SSL It! автоматически заменять просроченные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt.

Чтобы перевыпустить платные SSL/TLS-сертификаты:

1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.

2. Нажмите Перевыпустить сертификат. После этого вы будете автоматически перенаправлены в интернет-магазин Plesk.

3. Во всплывающем окне Plesk Online Store введите свой адрес и платежную информацию, а затем купите сертификат.

4. Закройте всплывающее окно.

5. Дождитесь, пока Plesk обновит статус платежа, или обновите его вручную, нажав Перезагрузить. Plesk автоматически обновляет статус платежа раз в час.

   

6. Как только платеж будет обработан, нажмите Ввести необходимые данные.

   

7. Заполните необходимую контактную информацию и нажмите OK.

Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Чтобы автоматически заменять просроченные платные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt:

1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.
2. Включите опцию Обеспечить защиту сайтов.

Теперь, если срок действия вашего платного SSL/TLS-сертификата истечет, SSL It! автоматически выпустит бесплатный SSL/TLS-сертификат от Let’s Encrypt для защиты доменов, псевдонимов доменов и веб-почты, принадлежащих подписке. Обычно это происходит не позже, чем через час после истечения срока действия платного SSL/TLS-сертификата.

Удаление SSL/TLS-сертификатов

1. Перейдите на страницу Сайты и домены > ваш домен, SSL/TLS-сертификат которого вы хотите удалить > SSL/TLS-сертификаты.
2. Нажмите Удалить сертификат и нажмите OK.

Повышение безопасности ваших сайтов и зашифрованных соединений с сервером

Защитить сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации может быть недостаточно для полной безопасности. SSL ― комплексная технология, которая включает в себя множество возможностей (алгоритм шифрования ключей, безопасные шифры, HSTS и многое другое), которые позволяют сделать следующее:

• повысить безопасность посетителей сайта,
• повысить производительность сайта,
• усилить безопасность всех зашифрованных соединений с сервером.

Включив следующие функции, вы можете поднять поисковый рейтинг вашего сайта:

• Перенаправление с HTTP на HTTPS ― устанавливает постоянное, безопасное для SEO перенаправление с кодом 301 с незащищенной HTTP-версии на защищенную HTTPS-версию сайта и/или веб-почты.
• HSTS ― запрещает веб-браузерам доступ к сайту через незащищенное HTTP-соединение.
• OSCP ― дает указание веб-серверу запрашивать статус сертификата сайта у центра сертификации вместо браузера посетителя. Возможные статусы: good (действителен), revoked (отозван) или unknown (не удалось установить статус).
• TLS версии и шифры, рекомендуемые Mozilla, укрепляют соединения, защищенные с помощью SSL/TLS-сертификатов (сайтов, почты, Plesk и так далее).

Чтобы повысить безопасность ваших сайтов и зашифрованных соединений с сервером:

1. Защитите сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации.

2. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

3. Если вы перешли на Plesk Obsidian с одной из ранних версий Plesk, включите опцию Перенаправление с HTTP на HTTPS. Это перенаправление будет также по умолчанию применено к веб-почте. На чистых установках Plesk Obsidian это перенаправление уже включено для доменов и веб-почты по умолчанию.

   Примечание: Если ваша веб-почта не защищена действительным сертификатом SSL/TLS или у вас нет веб-почты, щелкните значок ползунка, снимите флажок Применить к веб-почте и нажмите Применить.

4. Включите HSTS.

   Примечание: Если срок действия вашего SSL/TLS-сертификата истекает до окончания периода времени, указанного в поле Максимальный возраст, но при этом вы хотите использовать HSTS, мы рекомендуем вам включить опцию «Обеспечить защиту сайтов». Тогда по истечении срока действия SSL/TLS-сертификата SSL It! автоматически выпустит бесплатный сертификат от Let’s Encrypt, чтобы защитить домены, псевдонимы доменов и веб-почту, принадлежащие подписке. Сайт будет непрерывно защищен, и HSTS продолжит работать.

5. Включите OCSP Stapling.

6. Включите TLS версии и шифры Mozilla.

После того как вы усилите SSL-безопасность сайта и сервера, вы можете оценить уровень SSL-безопасности вашего сайта.

plesk ext sslit --hsts -enable -domain example.com -max-age 6months

plesk ext sslit --ocsp-stapling -enable -domain example.com

Включение HSTS

1. Включите HSTS.

2. Убедитесь, что SSL/TLS-сертификат, который защищает ваш сайт, будет действовать в течение периода, указанного в поле Максимальный возраст. Сделайте то же самое для субдоменов и веб-почты.

   Предупреждение: Если действие SSL/TLS-сертификата истекает раньше окончания периода, указанного в поле Максимальный возраст, и HSTS включен, посетители не смогут зайти на ваш сайт.

3. Если ваши субдомены не защищены с помощью действительных SSL/TLS-сертификатов или у вас нет субдоменов, снимите флажок Включить субдомены.

4. Если субдомен вашей веб-почты не защищен с помощью действительного SSL/TLS-сертификата или у вас нет веб-почты, снимите флажок Включить веб-почту.

5. Нажмите Включить HSTS.

Включение версий и шифров TLS, рекомендуемых Mozilla

1. Перейдите в раздел Расширения > вкладка Мои расширения > нажмите Открыть для расширения SSL It!
2. Нажмите Настройки.
3. Включите опцию Версии и шифры TLS, рекомендуемые Mozilla.
4. Оставьте значение Промежуточный (рекомендуется), а затем нажмите Включить и синхронизировать.
5. Чтобы поддерживать данные в актуальном состоянии, нажимайте Синхронизировать сейчас раз в несколько месяцев.

Известные проблемы и ограничения

• OCSP stapling (прикрепление OCSP-ответа) работает только для сайтов, которые обслуживаются nginx совместно с Apache или только nginx. Если ваши сайты обслуживаются только Apache, вам не нужно включать функцию «OCSP Stapling».
• OCSP stapling может не работать для SSL/TLS-сертификатов от некоторых производителей (например, для бесплатных сертификатов от DigiCert), если не установлена полная цепь доверия. Чтобы проверить, поддерживает ли ваш сертификат OCSP stapling, запустите тест SSL Labs на своей конфигурации SSL.
• Автоматическая синхронизация версий и шрифтов TLS, рекомендованных Mozilla, сейчас не поддерживается.

Оценка безопасности SSL сайта

Популярные поисковые системы (например, Google) присваивают более высокий рейтинг сайтам с более высоким уровнем SSL-защиты. Расширение SSL It! позволяет запустить одну из самых популярных служб тестирования, Qualys SSL Labs, чтобы сделать следующее:

• проверить, насколько хороша SSL-защита вашего сайта,
• посмотреть, что можно улучшить,
• достичь A+, наивысшего показателя безопасности (после усиления SSL-защиты, если это необходимо).

Чтобы оценить безопасность SSL вашего сайта:

1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.
2. Нажмите Запустить проверку с помощью SSL Labs.

Сайт Qualys SSL Labs откроется в новой вкладке, и тестирование начнется автоматически. Дождитесь окончания теста, чтобы получить оценку. Это может занять несколько минут.

Если вы защитили свой сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации и включили все функции повышения безопасности, предоставляемые SSL It!, вы с большой вероятностью получите показатель безопасности A+.

Изменение списка SSL/TLS-сертификатов, предлагаемых SSL It!

SSL It! позволяет заказывать SSL/TLS-сертификаты у различных поставщиков. Вы можете выбрать, какие из них будут видны в интерфейсе SSL It! для вас, ваших клиентов и реселлеров. Это делается с помощью установки (включения) или удаления (отключения) дополнительных модулей расширения SSL It!, облегчающих интеграцию между SSL It! и конкретным поставщиком.

Добавить возможность заказывать SSL/TLS-сертификаты у конкретного поставщика:

1. Перейдите в раздел Расширения и введите в поле поиска название дополнительного модуля расширения, соответствующее нужному поставщику.
2. Установите этот модуль расширения. Если модуль уже установлен, убедитесь, что он не отключен, и при необходимости включите его.

Теперь вы, ваши клиенты и реселлеры будете видеть сертификаты, проданные этим поставщиком, в интерфейсе SSL It!.

Удалить возможность заказывать SSL/TLS-сертификаты у конкретного поставщика:

1. Перейдите в раздел Расширения > Мои расширения и найдите дополнительный модуль расширения, соответствующий нужному поставщику.
2. Удалите или отключите этот модуль расширения.

Вы, ваши клиенты и реселлеры больше не будете видеть сертификаты, проданные этим поставщиком, в интерфейсе SSL It!. Это не повлияет на клиентов, которые уже приобрели SSL/TLS-сертификаты у этого поставщика.

Повышение вероятности выпуска сертификатов SSL It!

В SSL It! по умолчанию включена функция, позволяющая значительно снизить количество сбоев выпуска SSL/TLS-сертификатов Let’s Encrypt по причине несовместимости конфигураций доменов.

Когда вы получаете SSL/TLS-сертификат от Let’s Encrypt, его серверам необходимо проверить, что вы управляете именами доменов в этом сертификате. Для этого Let’s Encrypt использует так называемые «проверки»: Let’s Encrypt выдает файл токена, который Plesk помещает в http://<ваш_домен>/.well-known/acme-challenge/<токен>. Эту папку мы называем общей папкой проверок. Если эта папка недоступна, выпустить сертификат не удастся. Это может произойти по одной из следующих причин:

• Папка была защищена паролем.
• Сайт, который вы хотите защитить, был заблокирован функцией «Запретить доступ к сайту».
• Недопустимые типы MIME и так далее.

После установки SSL It! проверяет, что общая папка проверок поддерживается и доступна, даже если обнаружены некоторые несовместимые конфигурации. Функция «поддержка общей папки проверок» включена по умолчанию в Plesk для Linux и для Windows.

При необходимости вы можете отключить эту функцию через CLI, запустив следующую команду:

plesk ext sslit --common-challenge-dir –disable

Однако мы рекомендуем вам работать с включенной функцией поддержки общей папки проверок.

Если вы обновили версию SSL It! до 1.4.0 с одной из ранних версий, поддержка общей папки проверок будет включена автоматически, если только настройка use-common-challenge-dir не была отключена в panel.ini. Если она была отключена, включите поддержку вручную, запустив следующую команду:

plesk ext sslit --common-challenge-dir –enable

Начиная с версии SSL It! 1.4.0 настройка use-common-challenge-dir больше не используется.

Предотвращение неудачных попыток клиентов выпустить подстановочные сертификаты Let’s Encrypt

По умолчанию выпуск подстановочных сертификатов Let’s Encrypt доступен для всех доменов, которыми владеют ваши клиенты. Однако выпуск может быть успешным или неудачным в зависимости от конфигурации DNS доменов. В SSL It! вы можете скрыть возможность выпуска подстановочных сертификатов Let’s Encrypt для доменов, которые не могут быть автоматически защищены этими сертификатами.

SSL It! может автоматически выдавать подстановочные сертификаты Let’s Encrypt только для доменов, которые используют Plesk в качестве основного сервера DNS или стороннюю службу DNS, синхронизированную с Plesk. Если служба DNS не синхронизирована с Plesk, SSL It! не может защитить домены с помощью подстановочных сертификатов Let’s Encrypt. Попытки клиентов выпустить подстановочные сертификаты Let’s Encrypt обречены на неудачу, что приводит к обращениям в службу поддержки. Чтобы уменьшить нагрузку на службу поддержки, вы можете скрыть возможность выпуска подстановочных сертификатов Let’s Encrypt для доменов, записи DNS которых не размещены в Plesk.

Чтобы предотвратить неудачные попытки клиентов выпустить подстановочные сертификаты Let’s Encrypt:

1. Перейдите в раздел Расширения > вкладка «Мои расширения» > нажмите Открыть для расширения SSL It!.

2. В верхней части экрана нажмите «Настройки», а затем выберите «Домены с указанными серверами имен».

3. В текстовом поле ниже укажите серверы имен доменов, записи DNS которых размещены в Plesk или в сторонней службе DNS, синхронизированной с Plesk (DigitalOcean DNS, Amazon Route 53 или Azure DNS).

   Разделяйте серверы имен запятыми. Чтобы указать серверы имен всех доменов, записи DNS которых размещены в Plesk, вы можете использовать замещающий символ <domain>:

   ns1.<domain>, ns2.<domain>
   

4. Нажмите Сохранить.

Теперь клиенты могут выпускать подстановочные сертификаты Let’s Encrypt только для доменов, которые могут быть защищены автоматически.

Вы также можете скрыть возможность выпуска подстановочных сертификатов Let’s Encrypt через интерфейс командной строки. Для этого выполните команду следующего вида:

plesk ext sslit --wildcard-configuration -enable –nameservers 'ns1.<domain>,ns2.<domain>'

Чтобы увидеть более подробную информацию, запустите команду plesk ext sslit --help.

Ограничение возможности заказа платных SSL/TLS-сертификатов

Можно ограничить возможность клиентов заказывать платные SSL/TLS-сертификаты у определенных поставщиков или скрыть кнопку «Получить сертификаты». Клиенты по-прежнему смогут защищать свои сайты с помощью SSL/TLS-сертификатов от Let’s Encrypt.

Ограничить возможность заказа платных SSL/TLS-сертификатов у одного или нескольких поставщиков:

1. Откройте файл «panel.ini» для редактирования.

2. В разделе «[extensions]», добавьте следующую строку:

   blacklist = <comma-separated list of IDs of SSL It! plugin extensions>
   

   Например, чтобы ограничить возможность заказа SSL/TLS-сертификатов у Symantec (DigiCert), добавьте следующие строки:

   [extensions]
   blacklist = symantec
   

Ограничение возможности заказывать платные SSL/TLS-сертификаты у определенного поставщика не повлияет на клиентов, которые уже приобрели у него SSL/TLS-сертификаты. Чтобы восстановить возможность заказа платных SSL/TLS-сертификатов у поставщика, удалите идентификаторы соответствующих дополнительных модулей расширения SSL It! из черного списка, снова отредактировав файл panel.ini.

Скрыть кнопку «Получить сертификаты»:

1. Откройте файл «panel.ini» для редактирования.

2. В разделе [ext-sslit] добавьте следующую строку:

   showGetMoreCertificatesLink = false
   

Скрытие кнопки «Получить сертификаты» не повлияет на клиентов, которые уже приобрели SSL/TLS-сертификаты, а также не повлияет на возможность клиентов защищать свои сайты с помощью SSL/TLS-сертификатов от Let’s Encrypt. Кроме того, если на сервере установлено расширение Sectigo, клиенты смогут заказать платные сертификаты в Sectigo, несмотря на то, что кнопка «Получить сертификаты» скрыта. Чтобы сделать кнопку видимой, удалите строку, снова отредактировав файл panel.ini.