Смотреть видеоурок

The SSL It! extension offers a single interface for keeping your websites secured with SSL/TLS certificates from the trusted certificate authorities (CAs) Let’s Encrypt and DigiCert (Symantec, GeoTrust, and RapidSSL brands) or with any other SSL/TLS certificate of your choice. Using the extension, you can also do the following:

  • повысить безопасность посетителей вашего сайта с помощью перенаправлений с HTTP на HTTPS;
  • защитить посетителей вашего сайта, запретив в браузерах незащищенные подключения к сайтам по HTTP;
  • обеспечить конфиденциальность данных ваших посетителей и повысить производительность сайтов с помощью OCSP Stapling (прикрепления OCSP-ответа).

Начало работы с SSL It!

To manage an SSL/TLS certificate of a domain, go to Websites & Domains > your domain. You can see the current security status of the domain under «SSL/TLS Certificates»:

image status

Защита сайтов с помощью SSL/TLS-сертификатов

With the SSL It! extension, you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

Чтобы защитить сайт с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

  2. Under «More options», click Install:

    image install_button

  3. Укажите адрес электронной почты для срочных уведомлений и восстановления утерянных ключей.

  4. Выберите, что именно вы хотите защитить в дополнение к основному домену:

    • Secure the main domain name. Secure only the main domain. If you want to secure only the webmail, you can clear the checkbox.
    • Secure the wildcard domain (including www and webmail). Secure the www subdomain and/or domain aliases, and the webmail.
    • Include a «www» subdomain for the domain and each selected alias. Secure the www subdomain and/or domain aliases.
    • Secure webmail on this domain. Secure the webmail.
    • Assign the certificate to mail domain. Secure the mail with the IMAP, POP, or SMTP protocol. If you have the www subdomain and/or domain aliases, select the Include a «www» subdomain for the domain and each selected alias checkbox.
  5. Нажмите Получить бесплатно.

SSL/TLS-сертификат от Let’s Encrypt будет выпущен и автоматически установлен.

Примечание: Если вы защитили домен с помощью SSL/TLS-сертификата от Let’s Encrypt, а затем добавили в подписку новые домены, субдомены, псевдонимы доменов или веб-почту, вы можете дать указание SSL It! автоматически защитить их путем перевыпуска SSL/TLS-сертификата от Let’s Encrypt. Для этого перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты и включите опцию «Обеспечить защиту сайтов».

Чтобы получить платный SSL/TLS-сертификат:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

  2. To get the list of available certificates, click Get Certificates:

    image Get_Certificates_Button

  3. Select the SSL/TLS certificate you want to buy and click the Buy button in the certificate’s form. .. note:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the "Recommended", "Wildcard", and
        "For organization use" filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  5. Сlose the pop-up window.

  6. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  7. Как только платеж будет обработан, нажмите Ввести необходимые данные.

    image payment received

  8. Fill in the required contact information, and then click OK.

Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Примечание: Некоторые типы SSL/TLS-сертификатов (например, EV) требуют дополнительных действий с вашей стороны. Возможно, вам будет необходимо ответить на телефонный звонок или письмо, а также отправить необходимые документы, чтобы центр сертификации смог проверить вашу заявку.

Как только SSL/TLS-сертификат будет установлен, на странице Сайты и домены > ваш домен > SSL/TLS-сертификаты будет отображена информация об установленном SSL/TLS-сертификате (имя, центр сертификации, адрес электронной почты и так далее), защищенных компонентах и прочих опциях («Перенаправление с HTTP на HTTPS», «HSTS» и так далее).

Загрузка SSL/TLS-сертификатов

You may want to upload an SSL/TLS certificate in the following cases:

  • You already have a certificate that you want to use to secure your domain.
  • Вы хотите установить сертификат, который не можете получить с помощью SSL It!.

Чтобы загрузить SSL/TLS-сертификат:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты и нажмите Загрузить.

    image upload

  2. Найдите файл .pem SSL/TLS-сертификата, который хотите загрузить, и нажмите Открыть.

SSL/TLS-сертификат будет автоматически установлен на домене.

Обновление установленных SSL/TLS-сертификатов

Чтобы гарантировать, что ваш сайт находится под непрерывной защитой, вам необходимо периодически обновлять установленный SSL/TLS-сертификат. Расширение SSL It! может вам в этом помочь.

SSL It! автоматически обновляет бесплатные SSL/TLS-сертификаты от Let’s Encrypt и DigiCert за 30 дней до истечения их срока действия.

image renew

SSL It! cannot automatically renew paid SSL/TLS certificates. However, you can do the following:

  • перевыпустить их вручную;
  • дать указание SSL It! автоматически заменять просроченные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt.

Чтобы перевыпустить платные SSL/TLS-сертификаты:

  1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.

  2. Нажмите Перевыпустить сетификат. После этого вы будете автоматически перенаправлены в интернет-магазин Plesk.

  3. In the «Plesk Online Store» pop-up window, fill in your address, payment information, and then buy the certificate.

  4. Сlose the pop-up window.

  5. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  6. Как только платеж будет обработан, нажмите Ввести необходимые данные.

    image payment received

  7. Fill in the required contact information, and then click OK.

Plesk автоматически создаст запрос на подпись сертификата (CSR), а затем получит и установит SSL/TLS-сертификат. Это может занять некоторое время в зависимости от типа SSL/TLS-сертификата. Вы можете обновить статус SSL/TLS-сертификата вручную, нажав Обновить, или подождать, пока Plesk обновит его автоматически (Plesk проверяет статус SSL/TLS-сертификата раз в час).

Чтобы автоматически заменять просроченные платные SSL/TLS-сертификаты на бесплатные сертификаты от Let’s Encrypt:

  1. Перейдите на страницу Сайты и домены > ваш домен, защищенный с помощью платного SSL/TLS-сертификата с истекающим сроком действия > SSL/TLS-сертификаты.
  2. Включите опцию «Обеспечить защиту сайтов».

Now when your paid SSL/TLS certificate expires, SSL It! automatically issues a free SSL/TLS certificate from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. It usually happens no later than one hour after the SSL/TLS certificate expires.

Удаление SSL/TLS-сертификатов

  1. Перейдите на страницу Сайты и домены > ваш домен, SSL/TLS-сертификат которого вы хотите удалить > SSL/TLS-сертификаты.
  2. Click Unassign Certificate, and then click OK.

Повышение безопасности ваших сайтов

Одной лишь защиты сайта с помощью SSL/TLS-сертификата от доверенного центра сертификации может быть недостаточно для обеспечения полной безопасности. SSL ― комплексная технология, которая включает в себя множество различных функций (алгоритм шифрования ключей, OSCP stapling, HSTS и многое другое), которые могут усилить безопасность посетителей ваших сайтов и повысить производительность сайтов.

Включив следующие функции, вы можете поднять поисковый рейтинг вашего сайта:

  • Redirect from http to https sets up a permanent, SEO-safe 301 redirect from the insecure HTTP to the secure HTTPS version of the website and/or webmail.
  • HSTS prohibits web browsers from accessing the website via insecure HTTP connections.
  • OSCP makes the web server request the status of the website’s certificate (can be good, revoked, or unknown) from the CA instead of the visitor’s browser.

Осторожно: Before turning these features on, make sure that your website can be accessed via HTTPS without any issues. Otherwise, visitors may have trouble accessing your website.

Чтобы повысить безопасность вашего сайта:

  1. Защитите сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации.

  2. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.

  3. Включите опцию «Перенаправление с HTTP на HTTPS», если она еще не включена. «Перенаправление с HTTP на HTTPS» будет применено и к сайту, и к веб-почте.

    Примечание: Если ваша веб-почта не защищена с помощью действительного SSL/TLS-сертификата или у вас нет веб-почты, снимите флажок «Включить веб-почту».

  4. Enable HSTS.

    Примечание: Если срок действия вашего SSL/TLS-сертификата истекает до окончания периода времени, указанного в поле «Максимальный возраст», но при этом вы хотите использовать HSTS, мы рекомендуем вам включить опцию «Обеспечить защиту сайтов». Тогда по истечении срока действия SSL/TLS-сертификата SSL It! автоматически выпустит бесплатный сертификат от Let’s Encrypt, чтобы защитить домены, псевдонимы доменов и веб-почту, принадлежащие подписке. Сайт будет непрерывно защищен, и HSTS продолжит работать.

  5. Включите «OCSP Stapling».

После того как вы усилили безопасность SSL вашего сайта, вы можете ее оценить.

Enabling HSTS

  1. Включите HSTS.
  2. Make sure that the SSL/TLS certificate that secures your website will be valid during the «Max-age» period. Do the same for subdomains and the webmail subdomain.

Предупреждение: If the SSL/TLS certificate expires earlier than the Max-age period and HSTS is turned on, visitors won’t be able to access your website.

  1. Если ваши субдомены не защищены с помощью действительных SSL/TLS-сертификатов или у вас нет субдоменов, снимите флажок «Включить субдомены».
  2. Если субдомен вашей веб-почты не защищен с помощью действительного SSL/TLS-сертификата или у вас нет веб-почты, снимите флажок «Включить веб-почту».
  3. Нажмите Включить HSTS.

Известные проблемы и ограничения

  • OCSP stapling (прикрепление OCSP-ответа) работает только для сайтов, которые обслуживаются nginx совместно с Apache или только nginx. Если ваши сайты обслуживаются только Apache, вам не нужно включать функцию «OCSP Stapling».
  • OCSP stapling может не работать для SSL/TLS-сертификатов от некоторых производителей (например, для бесплатных сертификатов от DigiCert), если не установлена полная цепь доверия. Чтобы проверить, поддерживает ли ваш сертификат OCSP stapling, запустите тест SSL Labs на своей конфигурации SSL.

Оценка безопасности SSL сайта

Популярные поисковые системы (например, Google) присваивают более высокий рейтинг сайтам с более высоким уровнем SSL-защиты. Расширение SSL It! позволяет запустить одну из самых популярных служб тестирования, Qualys SSL Labs, чтобы сделать следующее:

  • проверить, насколько хороша SSL-защита вашего сайта,
  • посмотреть, что можно улучшить,
  • достичь A+, наивысшего показателя безопасности (после усиления SSL-защиты, если это необходимо).

Чтобы оценить безопасность SSL вашего сайта:

  1. Перейдите в раздел Сайты и домены > ваш домен > SSL/TLS-сертификаты.
  2. Click Run SSL Labs Test.

Сайт Qualys SSL Labs откроется в новой вкладке, и тестирование начнется автоматически. Дождитесь окончания теста, чтобы получить оценку. Это может занять несколько минут.

Если вы защитили свой сайт с помощью действительного SSL/TLS-сертификата от доверенного центра сертификации и включили все функции повышения безопасности, предоставляемые SSL It!, вы с большой вероятностью получите показатель безопасности A+.