Sécuriser les connexions avec l’extension SSL It!¶
Regarder le tutoriel vidéo
L’extension SSL It! offre une interface unique pour garder vos sites Web sécurisés avec des certificats SSL/TLS émis par les autorités de certification de confiance (CA) Let’s Encrypt et DigiCert (Symantec, GeoTrust et RapidSSL) ou tout autre certificat SSL/TLS de votre choix. À l’aide de l’extension, vous pouvez aussi :
- Améliorer la sécurité des visiteurs de votre site Web via les redirections depuis HTTP vers HTTPS.
- Sécuriser les visiteurs de votre site Web en interdisant aux navigateurs d’accéder au site Web via des connexions HTTP non sécurisées.
- Protéger la vie privée des visiteurs de votre site Web et améliorer les performances de votre site Web via OCSP Stapling.
Premiers pas avec SSL It!¶
Pour gérer le certificat SSL/TLS d’un domaine, allez dans Sites Web & Domaines > votre domaine. Vous pouvez voir le statut actuel du domaine sous « Certificats SSL/TLS » :
Sécuriser les sites Web avec des certificats SSL/TLS¶
Avec l’extension SSL It!, vous pouvez sécuriser des sites Web avec des certificats gratuits et payants SSL/TLS (uniquement DigiCert pour le moment) mais aussi avec les certificats SSL/TLS que vous avez déjà.
Pour sécuriser un site Web avec un certificat SSL/TLS gratuit de Let’s Encrypt :
Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
Sous « Plus d’options », cliquez sur Installer :
Indiquez l’adresse mail à utiliser pour les notifications urgentes et la récupération d’une clé perdue.
Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :
- Sécuriser le nom de domaine principal. Sécurisez uniquement le domaine principal. Si vous voulez sécuriser la messagerie Web, vous pouvez décocher la case.
- Protéger le domaine Wildcard (y compris www et la messagerie Web). Sécurisez le sous-domaine www et/ou les alias de domaine et la messagerie Web.
- Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné. Sécurisez le sous-domaine www et/ou les alias de domaines.
- Protéger la messagerie Web sur ce domaine. Sécurisez la messagerie Web.
- Assigner le certificat au domaine de messagerie. Sécurisez la messagerie avec le protocole IMAP, POP ou SMTP. Si vous avez un sous-domaine www et/ou un alias de domaine, cochez la case Inclure un sous-domaine « www » pour le domaine et pour chaque alias sélectionné.
Cliquez sur Obtenir gratuitement.
Un certificat SSL/TLS de Let’s Encrypt sera émis et installé automatiquement.
Note
Si vous sécurisez un domaine avec un certificat SSL/TLS depuis Let’s Encrypt, puis ajoutez des domaines, sous-domaines, alias de domaines ou une messagerie Web à l’abonnement, vous pouvez configurer SSL It! pour les sécuriser automatiquement en réémettant le certificat SSL/TLS depuis Let’s Encrypt. Pour cela, allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS et activez l’option « Assurer la protection des sites Web ».
Pour obtenir un certificat SSL/TLS payant :
Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
Pour obtenir la liste des certificats disponibles, cliquez sur Obtenir les certificats :
Sélectionnez le certificat SSL/TLS que vous voulez acheter et cliquez sur le bouton Acheter dans le formulaire du certificat .. note:
To find an appropriate certificate, you can do the following: - Filter the available certificates. You can apply the "Recommended", "Wildcard", and "For organization use" filter sets. - Read more about a certificate (its validity period, validation type, and so on) by clicking the **Learn more** button in the certificate’s form.
Dans la fenêtre pop-up de la boutique en ligne de Plesk, saisissez votre adresse, les informations de paiement et achetez le certificat.
Fermez la fenêtre pop-up.
Patientez jusqu’à ce que Plesk mette à jour le statut du paiement ou mettez-le à jour manuellement en cliquant sur Actualiser. Plesk met à jour automatiquement le statut du paiement une fois par heure.
Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.
Complétez les informations de contact, puis cliquez sur OK.
Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).
Note
Certains types de certificats SSL/TLS (par exemple EV) requièrent des actions supplémentaires de votre part. Vous pouvez être contacté par téléphone ou par mail et soumettre les documents requis pour que l’autorité de certification valide votre demande.
Une fois que le certificat SSL/TLS est installé, l’écran Sites Web & Domaines > votre domaine > Certificats SSL/TLS affiche les informations relatives au certificat SSL/TLS installé (nom, autorité de certification, adresse mail, etc.), composants sécurisés et d’autres options (« Redirection de HTTP vers HTTPS », « HSTS », etc.).
Envoi de certificats SSL/TLS¶
Dans les cas suivants, vous aurez peut-être besoin de téléverser un certificat SSL/TLS :
- Vous avez déjà un certificat que vous voulez utiliser pour sécuriser votre domaine.
- Vous voulez installer un certificat que vous ne pouvez pas obtenir avec SSL It!
Pour envoyer un certificat SSL/TLS :
Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS. Puis cliquez sur Envoyer.
Localisez le fichier
.pem
du certificat SSL/TLS que vous voulez envoyer, puis cliquez sur Ouvrir.
Le certificat SSL/TLS sera automatiquement installé sur le domaine.
Renouveler des certificats SSL/TLS installés¶
Pour assurer une sécurité ininterrompue de votre site Web, vous devez régulièrement renouveler le certificat SSL/TLS installé. L’extension SSL It! peut vous aider à gérer cela.
SSL It! renouvelle automatiquement les certificats SSL/TLS gratuits de Let’s Encrypt et DigiCert 30 jours avant leur date d’expiration.
SSL It! ne peut pas automatiquement renouveler les certificats SSL/TLS payants. Toutefois, vous pouvez :
- Réémettre les certificats manuellement.
- Demander à SSL It! de remplacer automatiquement les certificats SSL/TLS expirés par des certificats Let’s Encrypt gratuits.
Pour réémettre des certificats payants SSL/TLS :
Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.
Cliquez sur Regénérer le certificat. Vous serez alors automatiquement redirigé vers la boutique en ligne Plesk.
Complétez votre adresse, les informations de paiement et achetez le certificat.
Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).
Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.
Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.
Complétez les informations obligatoires, puis cliquez sur OK.
Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).
Pour remplacer automatiquement les certificats SSL/TLS payants expirés par des certificats Let’s Encrypt gratuits :
- Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.
- Activez l’option « Assurer la protection des sites Web ».
Désormais, quand votre certificat SSL/TLS arrivera à expiration, SSL It! émettra automatiquement un certificat SSL/TLS gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Ce certificat est généralement émis automatiquement au plus tard une heure après l’expiration du certificat SSL/TLS.
Désattribuer des certificats SSL/TLS¶
- Allez dans Sites Web & Domaines > domaine pour lequel vous voulez libérer le certificat SSL/TLS > Certificats SSL/TLS.
- Cliquez sur Libérer le certificat, puis cliquez sur OK.
Améliorer la sécurité de vos sites Web et les connexions serveur chiffrées¶
Simplement sécuriser un site Web avec un certificat valide émis par une autorité de confiance n’est pas suffisant pour obtenir une protection globale. SSL est une technologie complexe qui dispose de nombreuses fonctionnalités (algorithme de chiffrement de clés, OSCP stapling, HSTS, etc.) pouvant améliorer la sécurité des visiteurs de votre site et les performances de votre site.
En activant ces fonctionnalités, vous pouvez améliorer le classement de votre site Web par les moteurs de recherche :
- L’option Rediriger de HTTP vers HTTPS crée une redirection SEO-safe 301 permanente depuis une version HTTP non sécurisée vers une version HTTPS sécurisée du site Web et/ou de la messagerie Web.
- HSTS interdit aux navigateurs Web d’accéder au site Web via des connexions HTTP non sécurisées.
- OSCP oblige le serveur Web à faire une requête de statut du certificat du site Web (bon, révoqué ou inconnu) auprès de l’autorité de certification à la place du navigateur du visiteur.
Prudence
Avant d’activer ces fonctionnalités, vérifiez si vous pouvez accéder à votre site Web via HTTPS sans rencontrer de problème. Dans le cas contraire, les visiteurs risquent de rencontrer des problèmes pour accéder à votre site.
Pour améliorer la sécurité de vos sites Web :
Sécurisez votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance.
Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
Activez « Rediriger de HTTP vers HTTPS » si cette option n’est pas encore activée. Elle sera appliquée au site et à la messagerie Web.
Note
Si votre messagerie Web n’est pas sécurisée par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».
-
Note
Si votre certificat SSL/TLS expire avant la période maximum et si vous voulez tout de même utiliser HSTS, nous vous recommandons d’activer l’option « Assurer la protection des sites Web ». Lorsque le certificat SSL/TLS expire, l’extension SSL It! émet automatiquement un certificat gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Le site Web sera sécurisé sans interruption et HSTS continuera de fonctionner.
Activez « OCSP Stapling ».
Une fois que vous avez renforcé la sécurité SSL de votre site Web, vous pouvez l’évaluer.
Activer HSTS
- Activez HSTS.
- Assurez-vous que le certificat SSL/TLS qui sécurise votre site Web est valide pendant la période « Âge max. » Procédez de même pour les sous-domaines et le sous-domaine de la messagerie Web.
Avertissement
Si le certificat SSL/TLS expire avant la période Âge max.* et si HSTS est activé, les visiteurs ne pourront pas accéder à votre site Web.
- Si vos sous-domaines ne sont pas sécurisés par un certificat SSL/TLS valide, ou si vous n’avez pas de sous-domaines, décochez la case « Inclure les sous-domaines ».
- Si le sous-domaine de votre messagerie Web n’est pas sécurisé par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».
- Cliquez sur Activer HSTS.
Problèmes connus et limites¶
- OCSP stapling fonctionne uniquement pour les sites Web servis par Nginx avec Apache ou uniquement Nginx. Si vos sites Web sont servis uniquement par Apache, vous n’avez pas besoin d’activer « OCSP stapling ».
- OCSP stapling ne fonctionne pas pour les certificats SSL/TLS de certains vendeurs (Par exemple, les certificats gratuits de DigiCert) si la chaîne de confiance intégrale n’est pas mise en place. Pour vérifier si vos certificats prennent en charge OCSP stapling, exécutez le test SSL Labs sur votre configuration SSL.
Évaluer la sécurité SSL de votre site Web¶
Les moteurs de recherche populaires (par exemple : Google) classent mieux les sites Web avec une meilleure protection SSL. Dans l’extension SSL It!, vous pouvez exécuter l’un des services de test populaires, Qualys SSL Labs, pour qu’il :
- Vérifie le niveau de protection SSL de votre site Web.
- Vérifie les améliorations possibles.
- Atteigne le score le plus élevé, A+ (après avoir renforcé la protection SSL si nécessaire).
Pour évaluer la sécurité SSL de votre site Web :
- Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.
- Cliquez sur Exécuter le test SSL Labs.
Le site Web Qualys SSL Labs s’ouvre dans un nouvel onglet et le test démarre automatiquement. Patientez jusqu’à fin du test pour recevoir votre note. Cela peut prendre quelques minutes.
Si vous avez sécurisé votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance, et si vous avez activé toutes les fonctionnalités fournies par SSL It!, votre score sera probablement A+.