Sécuriser les connexions avec l’extension SSL It!

Customer's Guide

Sécuriser les connexions avec l’extension SSL It!

Regarder le tutoriel vidéo

L’extension SSL It! offre une interface unique pour garder vos sites Web sécurisés avec des certificats SSL/TLS depuis les autorités de certification de confiance (CA) Let’s Encrypt et DigiCert (Symantec, GeoTrust et RapidSSL) ou tout autre certificat SSL/TLS de votre choix. Vous pouvez aussi :

  • Améliorer la sécurité des visiteurs de votre site Web via les redirections depuis HTTP vers HTTPS.

  • Sécuriser les visiteurs de votre site Web en interdisant aux navigateurs d’accéder au site Web via des connexions HTTP non sécurisées.

  • Protéger la vie privée des visiteurs de votre site Web et améliorer les performances de votre site Web via OCSP Stapling.

Premiers pas avec SSL It!

Pour gérer le certificat SSL/TLS d’un domaine, allez dans Sites Web & Domaines > votre domaine. Vous pouvez voir le statut actuel du domaine sous Certificats SSL/TLS :

Sécuriser les sites Web avec des certificats SSL/TLS

Avec l’extension SSL It!, vous pouvez sécuriser des sites Web avec des certificats gratuits et payants SSL/TLS (uniquement DigiCert pour le moment) mais aussi avec les certificats SSL/TLS que vous avez déjà.

Pour sécuriser un site Web avec un certificat SSL/TLS gratuit de Let’s Encrypt :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Cliquez sur Obtenir gratuitement dans « Protection de base ».

  3. Indiquez l’adresse mail à utiliser pour les notifications urgentes et la récupération d’une clé perdue.

  4. Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :

    • Si vous avez un sous-domaine www et/ou des alias de domaines, cochez la case « Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné ».

    • Si vous utilisez la messagerie Web, cochez la case « Sécuriser la messagerie Web sur ce domaine ».

    • Si vous avez tous les éléments mentionnés ci-dessus plus d’autres sous-domaines, sélectionnez le bouton radio « Sécuriser le domaine wildcard (www et messagerie Web incluse) ».

  5. Cliquez sur Obtenir gratuitement.

Un certificat SSL/TLS de Let’s Encrypt sera émis et installé automatiquement.

Note

Si vous sécurisez un domaine avec un certificat SSL/TLS depuis Let’s Encrypt, puis ajoutez des domaines, sous-domaines, alias de domaines ou une messagerie Web à l’abonnement, vous pouvez configurer SSL It! pour les sécuriser automatiquement en réémettant le certificat SSL/TLS depuis Let’s Encrypt. Pour cela, allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS et activez l’option « Garder les sites Web sécurisés ».

Pour obtenir un certificat SSL/TLS payant :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Définissez quel certificat SSL/TLS vous voulez acheter. Pour en savoir plus sur les certificats (période de validité, type de validation, etc.), cliquez sur Voir détails. Une fois que vous avez choisi, cliquez sur Acheter. Vous serez alors automatiquement redirigé vers la Boutique en ligne de Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Note

Certains types de certificats SSL/TLS (par exemple EV) requièrent des actions supplémentaires de votre part. Vous pouvez être contacté par téléphone ou par mail et soumettre les documents requis pour que l’autorité de certification valide votre demande.

Une fois que le certificat SSL/TLS est installé, l’écran Sites Web & Domaines > votre domaine > Certificats SSL/TLS affiche les informations relatives au certificat SSL/TLS installé (nom, autorité de certification, adresse mail, etc.), composants sécurisés et d’autres options (« Redirection depuis HTTP vers HTTPS », « HSTS », etc.).

Envoi de certificats SSL/TLS

Vous aurez besoin d’envoyer un certificat SSL/TLS si :

  • Vous en avez déjà un que vous voulez utiliser pour sécuriser votre domaine.

  • Vous voulez installer un certificat que vous ne pouvez pas obtenir avec SSL It!

Pour envoyer un certificat SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS. Puis cliquez sur Envoyer.

  2. Localisez le fichier .pem du certificat SSL/TLS que vous voulez envoyer, puis cliquez sur Ouvrir.

Le certificat SSL/TLS sera automatiquement installé sur le domaine.

Renouveler des certificats SSL/TLS

Pour assurer une sécurité ininterrompue de votre site Web, vous devez régulièrement renouveler le certificat SSL/TLS installé. L’extension SSL It! peut vous aider à gérer cela.

SSL It! renouvelle automatiquement les certificats SSL/TLS gratuits de Let’s Encrypt et DigiCert 30 jours avant leur date d’expiration.

SSL It! ne peut pas renouveler automatiquement les certificats SSL/TLS payants. Toutefois, vous pouvez :

  • Réémettre les certificats manuellement.

  • Demander à SSL It! de remplacer automatiquement les certificats SSL/TLS expirés par des certificats Let’s Encrypt gratuits.

Pour réémettre des certificats payants SSL/TLS :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.

  2. Cliquez sur Regénérer le certificat. Vous serez alors automatiquement redirigé vers la boutique en ligne Plesk.

  3. Complétez votre adresse, les informations de paiement et achetez le certificat.

  4. Revenez à Plesk (cliquez sur le bouton Précédent dans votre navigateur).

  5. Le traitement du paiement prend un certain temps. Pour actualiser le statut du paiement, cliquez sur Recharger. Plesk met automatiquement à jour le statut du paiement une fois par heure.

  6. Une fois que le paiement a été traité, cliquez sur Renseigner les infos requises.

  7. Complétez les informations obligatoires, puis cliquez sur OK.

  8. Plesk génère désormais automatiquement une demande de signature de certificat (CSR) puis reçoit et installe le certificat SSL/TLS. Cela prend un certain temps, selon le type de certificat SSL/TLS. Vous pouvez mettre à jour le statut du certificat SSL/TLS manuellement en cliquant sur Recharger ou patienter jusqu’à ce que Plesk le fasse automatiquement (Plesk vérifie le statut du certificat SSL/TLS une fois par heure).

Pour remplacer automatiquement les certificats SSL/TLS payants expirés par des certificats Let’s Encrypt gratuits :

  1. Allez dans Sites Web & Domaines > votre domaine sécurisé avec un certificat SSL/TLS payant sur le point d’expirer > Certificats SSL/TLS.

  2. Activez l’option « Assurer la protection des sites Web ».

Désormais, quand votre certificat SSL/TLS arrivera à expiration, SSL It! émettra automatiquement un certificat SSL/TLS gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Ce certificat sera émis automatiquement au plus tard une heure après l’expiration du certificat SSL/TLS.

Désattribuer des certificats SSL/TLS

  1. Allez dans Sites Web & Domaines > domaine pour lequel vous voulez libérer le certificat SSL/TLS > Certificats SSL/TLS.

  2. Cliquez sur Libérer le certificat, puis cliquez sur OK.

Améliorer la sécurité de vos sites Web et les connexions serveur chiffrées

Simplement sécuriser un site Web avec un certificat valide émis par une autorité de confiance n’est pas suffisant pour obtenir une protection globale. SSL est une technologie complexe qui dispose de nombreuses fonctionnalités (algorithme de chiffrement de clés, OSCP stapling, HSTS; etc.) pouvant améliorer la sécurité des visiteurs de votre site et les performances de votre site.

En activant ces fonctionnalités, vous pouvez améliorer le classement de votre site Web par les moteurs de recherche :

  • L’option « Rediriger de HTTP vers HTTPS » crée une redirection SEO-safe 301 permanente depuis une version HTTP non sécurisée vers une version HTTPS sécurisée du site Web et/ou de la messagerie Web.

  • HSTS interdit aux navigateurs d’accéder aux sites Web via des connexions HTTP non sécurisées.

  • OSCP oblige le serveur Web à faire une requête de statut du certificat du site Web (bon, révoqué ou inconnu) auprès de l’autorité de certification à la place du navigateur du visiteur.

Prudence

Avant d’activer ces fonctionnalités, vérifiez si vous pouvez accéder à votre site Web via HTTPS sans rencontrer de problème. Dans le cas contraire, les visiteurs risquent de rencontrer des problèmes pour accéder à votre site.

Pour améliorer la sécurité de vos sites Web :

  1. Sécurisez votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance.

  2. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  3. Activez « Rediriger de HTTP vers HTTPS » si cette option n’est pas encore activée. Elle sera appliquée au site et à la messagerie Web.

    Note

    Si votre messagerie Web n’est pas sécurisée par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

  4. Activer HSTS :

    1. Activez HSTS.

    2. Assurez-vous d’avoir un certificat SSL/TLS valide qui sécurise votre site Web pendant la période maximum. Vérifiez également pour vos sous-domaines et le sous-domaine de la messagerie Web. Dans le cas contraire, si le certificat SSL/TLS expire avant la période maximum et si HSTS est activé, les visiteurs ne pourront pas accéder à votre site Web.

    3. Si vos sous-domaines ne sont pas sécurisés par un certificat SSL/TLS valide, ou si vous n’avez pas de sous-domaines, décochez la case « Inclure les sous-domaines ».

    4. Si le sous-domaine de votre messagerie Web n’est pas sécurisé par un certificat SSL/TLS valide, ou si vous n’avez pas de messagerie Web, décochez la case « Inclure la messagerie Web ».

    5. Cliquez sur Activer HSTS.

      Note

      Si votre certificat SSL/TLS expire avant la période maximum et si vous voulez tout de même utiliser HSTS, nous vous recommandons d’activer l’option « Assurer la protection des sites Web ». Lorsque le certificat SSL/TLS expire, l’extension SSL It! émet automatiquement un certificat gratuit de Let’s Encrypt pour sécuriser les domaines, les sous-domaines, les alias de domaines et la messagerie Web appartenant à l’abonnement. Le site Web sera sécurisé sans interruption et HSTS continuera de fonctionner.

  5. Activez « OCSP Stapling ».

Une fois que vous avez renforcé la sécurité SSL de votre site Web, vous pouvez l’évaluer.

Problèmes connus et limitations

  • OCSP stapling fonctionne uniquement pour les sites Web servis par Nginx avec Apache ou uniquement Nginx. Si vos sites Web sont servis uniquement par Apache, vous n’avez pas besoin d’activer « OCSP stapling ».

  • OCSP stapling ne fonctionne pas pour les certificats SSL/TLS de certains vendeurs (Par exemple, les certificats gratuits de DigiCert) si la chaîne de confiance intégrale n’est pas mise en place. Pour vérifier si vos certificats prennent en charge OCSP stapling, exécutez le test SSL Labs sur votre configuration SSL.

Évaluer la sécurité SSL de votre site Web

Les moteurs de recherche populaires (par exemple : Google) classent mieux les sites Web avec une meilleure protection SSL. Dans l’extension SSL It!, vous pouvez exécuter l’un des services de test populaires, Qualys SSL Labs, pour qu’il :

  • Vérifie le niveau de protection SSL de votre site Web.

  • Vérifie les améliorations possibles.

  • Atteigne le score le plus élevé, A+ (après avoir renforcé la protection SSL si nécessaire).

Pour évaluer la sécurité SSL de votre site Web :

  1. Allez dans Sites Web & Domaines > votre domaine > Certificats SSL/TLS.

  2. Cliquez sur « Exécuter le test SSL Labs ».

Le site Web Qualys SSL Labs s’ouvre dans un nouvel onglet et le test démarre automatiquement. Patientez jusqu’à fin du test pour recevoir votre note. Cela peut prendre quelques minutes.

Si vous avez sécurisé votre site Web avec un certificat SSL/TLS valide émis par une autorité de certification de confiance, et si vous avez activé toutes les fonctionnalités fournies par SSL It!, votre score sera probablement A+.

Dernière mise à jour