Protección de conexiones con la extensión SSL It!
resumen: La extensión SSL It! le ayuda a proteger sus sitios web alojados tanto con certificados SSL/TLS gratuitos como de pago.
En este tema aprenderá cómo obtener certificados SSL/TLS gratuitos, cómo comprar certificados de pago, cómo cargar certificados desde un archivo y cómo proteger sitios web alojados con cualquiera de estos.
Además, aprenderá cómo proteger las conexiones a sitios web alojados y cómo estimar la efectividad de la protección SSL de los sitios web alojados. Si es administrador de Plesk, también aprenderá cómo configurar los certificados SSL/TLS a disposición de sus clientes mediante la interfaz de SSL It!.
La extensión SSL It! ofrece una única interfaz para la protección de sus sitios web mediante certificados SSL/TLS de las autoridades de certificación (CAs) Let’s Encrypt y DigiCert (Symantec, GeoTrust y RapidSSL) o con cualquier otro certificado SSL/TLS. El uso de la extensión también le permite:
- Mejorar la seguridad de los visitantes de su sitio web mediante redireccionamientos de HTTP a HTTPS.
- Proteger a los visitantes de su sitio web impidiendo que los navegadores web puedan acceder al sitio web mediante conexiones HTTP inseguras.
- Proteger la privacidad de los visitantes de su sitio web y mejorar el rendimiento de su sitio web con Asociación de OCSP.
- Mejorar la seguridad de las conexiones cifradas con certificados SSL/TLS usando protocolos y cyphers generados por Mozilla.
Primeros pasos en SSL It!
Tenga en cuenta lo siguiente:
- La extensión SSL It! viene instalada por defecto.
- Para sacar el máximo partido de las prestaciones de SSL It!, compruebe que también tiene instaladas las versiones más recientes de las extensiones DigiCert SSL y Let’s Encrypt.
Para gestionar un certificado SSL/TLS de un dominio, vaya a Sitios web y dominios > su dominio. Puede ver el estado de seguridad actual del dominio debajo de «Certificados SSL/TLS»:
Protección de sitios web con certificados SSL/TLS
La extensión SSL It! le permite proteger sitios web con certificados SSL/TLS gratuitos o de pago (en estos momentos únicamente de DigiCert), así como con certificados SSL/TLS de los que ya disponga.
Para proteger un sitio web con un certificado SSL/TLS gratuito de Let’s Encrypt:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Debajo de «Más opciones», haga clic en Instalar:
-
Especifique la dirección de email que se usará para las notificaciones urgentes y para la recuperación de claves perdidas.
-
Seleccione aquello que desea proteger además del dominio principal:
-
Proteger el nombre de dominio principal. Proteja únicamente el dominio principal. Si solo desea proteger el webmail, puede deseleccionar la casilla.
-
Proteger el dominio wildcard (incluyendo www y webmail). Proteja el subdominio www y/o los alias de dominio y el webmail.
-
Incluir un subdominio «www» para el dominio y los alias seleccionados. Proteja el subdominio www y/o alias de dominio.
-
Proteger el webmail en este dominio. Proteja el webmail.
-
Asignar el certificado al dominio de correo. Proteja las conexiones del servidor de correo para este dominio. Resulta útil si el servidor de correo no está protegido con un certificado SSL/TLS o si el certificado que protege el servidor de correo no puede verificarse.
Si dispone del subdominio www y/o alias de dominio, le recomendamos que también seleccione la casilla Incluir un subdominio «www» para el dominio y cada alias seleccionado.
-
-
Haga clic en Obténgalo gratis.
Se emitirá un certificado SSL/TLS de Let’s Encrypt, que se instalará automáticamente.
Nota: Si protege un dominio con un certificado SSL/TLS de Let’s Encrypt y posteriormente añade nuevos dominios, subdominios, alias de dominio o webmail a la suscripción, es posible protegerlos con SSL It! volviendo a emitir el certificado SSL/TLS de Let’s Encrypt. Para ello, vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS y active la opción Conservar los sitios web protegidos.
Si desea obtener un certificado SSL/TLS de pago:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Para obtener la lista de certificados disponibles, haga clic en Obtener certificados:
-
Seleccione el certificado SSL/TLS que desea comprar y haga clic en el botón Comprar en el formulario del certificado.
Nota: Para encontrar un certificado apropiado, puede:
- Filtrar los certificados disponibles. Puede aplicar los conjuntos de filtros Recomendado, Wildcard y Para uso corporativo.
- Obtenga más información sobre un certificado (su periodo de validez, tipo de validación, etc.) haciendo clic en el botón Más información en el formulario del certificado.
-
En la ventana emergente de la tienda online de Plesk, indique su dirección y la información de pago y compre el certificado.
-
Cierre la ventana emergente.
-
Espere hasta que Plesk actualice el estado del pago o actualícelo manualmente haciendo clic en Volver a cargar. Plesk actualiza el estado del pago de forma automática una vez cada hora.
-
Una vez procesado el pago, haga clic en Indique los datos obligatorios.
-
Especifique la información de contacto y haga clic en ACEPTAR.
Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).
Nota: Algunos tipos de certificados SSL/TLS (como por ejemplo EV) requieren que realice algunas acciones adicionales. Es posible que deba responder a una llamada telefónica o a un email y enviar los documentos necesarios con el fin de que la autoridad de certificación valide su petición.
Una vez instalado el certificado SSL/TLS, en la pantalla Sitios web y dominios > su dominio > Certificados SSL/TLS se mostrará la información sobre el certificado SSL/TLS instalado (nombre, autoridad de certificación, dirección de email, etc.), los componentes protegidos y otras opciones (como puede ser el caso de «Redireccionamiento de HTTP a HTTPS», «HSTS», entre otros).
Protección de sitios web mediante CLI
También puede proteger sitios web con certificados SSL/TLS wildcard mediante CLI. Ejecute los siguientes comandos CLI:
plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard
y a continuación
plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue
El primer comando crea un pedido de un certificado wildcard, mientras que el segundo completa el pedido y emite el certificado.
Carga de certificados SSL/TLS
Es posible que desee cargar un certificado SSL/TLS si:
- Ya dispone de un certificado y desea usarlo para proteger su dominio.
- Desea instalar un certificado que no puede obtenerse mediante SSL It!.
Para cargar un certificado SSL/TLS:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS y haga clic en Cargar.
-
Localice el archivo
.pem
del certificado SSL/TLS que desea cargar y haga clic en Abrir.
El certificado SSL/TLS se instalará automáticamente en el dominio.
Renovación de certificados SSL/TLS instalados
Con el fin de poder garantizar que su sitio web está continuamente protegido es imprescindible renovar el certificado SSL/TLS instalado de inmediato cuando sea el momento. La extensión SSL It! se lo pone muy fácil..
SSL It! renueva certificados SSL/TLS de Let’s Encrypt y DigiCert automáticamente 30 días antes de que expiren.
SSL It! no puede renovar certificados SSL/TLS de pago automáticamente, si bien usted puede:
- Volverlos a emitir manualmente.
- Configurar SSL It! para que automáticamente reemplace los certificados SSL/TLS expirados por certificados gratuitos de Let’s Encrypt.
Para volver a emitir certificados SSL/TLS de pago:
-
Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.
-
Haga clic en Volver a emitir el certificado. A continuación se le redireccionará a la tienda online de Plesk.
-
En la ventana emergente de la tienda online de Plesk, indique su dirección y la información de pago y compre el certificado.
-
Cierre la ventana emergente.
-
Espere hasta que Plesk actualice el estado del pago o actualícelo manualmente haciendo clic en Volver a cargar. Plesk actualiza el estado del pago de forma automática una vez cada hora.
-
Una vez procesado el pago, haga clic en Indique los datos obligatorios.
-
Especifique la información de contacto y haga clic en ACEPTAR.
Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).
Si desea reemplazar automáticamente certificados SSL/TLS de pago expirados por certificados gratuitos de Let’s Encrypt:
- Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.
- Activar Conservar los sitios web protegidos.
Ahora, cuando expire su certificado de pago SSL/TLS, SSL It! emitirá un certificado SSL/TLS gratuito de Let’s Encrypt de forma automática para la protección de dominios, subdominios, alias de dominio y webmail pertenecientes a la suscripción. Como máximo, esto suele suceder una hora después de la expiración del certificado SSL/TLS.
Cancelación de la asignación de certificados SSL/TLS
- Vaya a Sitios web y dominios > el dominio el certificado SSL/TLS del cual desea que ya no esté asignado > Certificados SSL/TLS.
- Haga clic en Cancelar asignación de certificado y a continuación haga clic en ACEPTAR.
Mejora de la seguridad de sus sitios web y conexiones de servidor cifradas
Proteger un sitio web únicamente con un certificado SSL/TLS válido de una autoridad de certificación de confianza no es ni mucho menos suficiente. SSL es una compleja tecnología que ofrece múltiples prestaciones, como por ejemplo algoritmo de cifrado de claves, cyphers seguros y HSTS, entre otras. Estas prestaciones le permiten:
- Mejorar la seguridad de los visitantes de su sitio web.
- Mejorar el rendimiento de su sitio web.
- Optimizar la seguridad de todas las conexiones cifradas del servidor
Al disponer de estas prestaciones, mejorará el posicionamiento de sus sitios web en los buscadores:
- El Redireccionamiento de HTTP a HTTPS ofrece un redireccionamiento 301 permanente, seguro y respetuoso con SEO de la versión HTTP insegura a la versión HTTPS segura del sitio web y/o webmail.
- HSTS impide que los navegadores web puedan acceder al sitio web mediante conexiones HTTP inseguras.
- OSCP insta al servidor web a solicitar el estado del certificado del sitio web (puede ser correcto, revocado o desconocido) a la autoridad de certificación, en vez de al navegador del visitante.
- Los cyphers y versiones TLS de Mozilla mejoran la protección de las conexiones protegidas mediante certificados SSL/TLS (sitio web, correo, Plesk, etc.).
Prudencia: Antes de activar estas prestaciones, compruebe que es posible acceder a su sitio web mediante HTTPS sin ningún tipo de incidencia. De lo contrario, es posible que los visitantes experimenten problemas para acceder a su sitio web.
Nota: Si ya ha configurado la asociación de OCSP o HSTS en su servidor web de forma manual, elimine estas personalizaciones antes de activar la asociación de OCSP o HSTS en SSL It!.
Para mejorar la seguridad de sus sitios web y de las conexiones cifradas:
-
Proteja su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza.
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Si ha actualizado a Plesk Obsidian desde versiones anteriores de Plesk, active Redireccionar de HTTP a HTTPS. Por omisión, el redireccionamiento también se aplicará al webmail. En el caso de nuevas instalaciones de Plesk Obsidian, el redireccionamiento para el dominio y el webmail ya viene activado por defecto.
Nota: Si su webmail no está protegido con un certificado SSL/TLS válido o no dispone de webmail, haga clic en el icono de barras del control deslizante, deseleccione la casilla Aplicar webmail y a continuación haga clic en Aplicar.
-
Nota: Si su certificado SSL/TLS expira antes del periodo Max-age pero desea seguir usando HSTS, le recomendamos activar «Conservar los sitios web protegidos». Ahora, cuando expire el certificado SSL/TLS, SSL It! emitirá automáticamente un certificado gratuito de Let’s Encrypt para que pueda proteger dominios, subdominios, alias de dominio y webmail perteneciente a la suscripción. El sitio web estará constantemente protegido y HSTS seguirá funcionando.
-
Active Asociación de OCSP.
Una vez mejorada la seguridad SSL de su sitio web y de su servidor, puede evaluar la seguridad SSL de su sitio web.
Nota: Asimismo, puede activar HSTS y OCSP mediante la CLI. Por ejemplo, para activar HSTS para el dominio example.com que ya ha sido protegido con un certificado SSL/TLS, ejecute el siguiente comando:
plesk ext sslit --hsts -enable -domain example.com -max-age 6months
Para activar OCSP para el mismo dominio, ejecute el siguiente comando:
plesk ext sslit --ocsp-stapling -enable -domain example.com
Si desea más información sobre el uso de SSL It! mediante la CLI, ejecute el comando plesk ext sslit --help
.
Habilitación de HSTS
Active HSTS.
Compruebe que el certificado SSL/TLS que protege su sitio web será válido durante el periodo Max-age. Haga lo mismo para los subdominios y el subdominio webmail.
Advertencia: Si el certificado SSL/TLS expira antes que el periodo Max-age y HSTS está habilitado, los visitantes no podrán acceder a su sitio web.
Si sus subdominios no se encuentran protegidos con certificados SSL/TLS válidos o no dispone de ningún subdominio, deseleccione la casilla Incluir subdominios.
Si su subdominio webmail no se encuentra protegido por ningún certificado SSL/TLS válido o no dispone de webmail, deseleccione la casilla Incluir webmail.
Haga clic en Activar HSTS.
Activación de cyphers y versiones TLS de Mozilla
- Vaya a Extensiones > pestaña Mis extensiones > haga clic en Abrir al lado de SSL It!
- Haga clic en Configuración.
- Debajo de Versiones de TLS y ciphers de Mozilla, active la alternancia.
- Conserve Intermedia (recomendada) y haga clic en Activar y sincronizar.
- Para estar al día, haga clic en Sincr ahora una vez cada pocos meses o active la sincronización automática semanal.
Limitaciones y problemas conocidos
- La asociación de OCSP solo funciona en el caso de sitios web protegidos mediante nginx con Apache o únicamente con nginx. Si sus sitios web solo se sirven mediante Apache, no es necesario activar «Asociación de OCSP».
- Es posible que la asociación de OCSP no funcione en el caso de certificados SSL/TLS de determinados proveedores (como puede ser el caso de certificados gratuitos de DigiCert) si la completa cadena de confianza no se encuentra en su sitio. Para verificar que su certificado soporta este tipo de asociación, ejecute el test de SSL Labs en su configuración SSL.
- En estos momentos no se soporta la sincronización automática de ciphers y versiones TLS de Mozilla.
Evaluación de la seguridad SSL de su sitio web
Los navegadores conocidos como Google posicionan mejor aquellos sitios web que cuentan con protección SSL. En la extensión SSL It! puede ejecutar uno de los servicios de análisis más populares, Qualys SSL Labs, para lo siguiente:
- Verificar la calidad de la protección SSL de su sitio web.
- Comprobar posibles mejoras.
- Obtener A+, la máxima puntuación (tras mejorar la protección SSL, de ser necesario).
Para evaluar la seguridad SSL de su sitio web:
- Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
- Haga clic en Ejecutar prueba de SSL Labs.
En una nueva pestaña se abrirá el sitio web de Qualys SSL Labs y se iniciará el análisis de inmediato. Espere hasta que este finalice para obtener su puntuación. Esto puede tardar unos minutos.
Si protegió su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza y activó todas las prestaciones relacionadas con la mejora de la seguridad de SSL It!, lo más probable es que obtenga la puntuación A+.
Personalización de la lista de certificados SSL/TLS de SSL It!
SSL It! permite comprar certificados SSL/TLS de una amplia variedad de proveedores. Pues escoger cuáles de ellos serán visibles en la interfaz de SSL It! para usted, sus clientes y revendedores. Esto se consigue instalando (activando) o eliminando (desactivando) las extensiones del plugin SSL It! que facilitan la integración entre SSL It! y un proveedor en concreto.
Añada la habilidad para comprar certificados SSL/TLS de un determinado proveedor:
- Vaya a Extensiones e indique el nombre de la extensión de plugin correspondiente al proveedor deseado en el campo de búsqueda.
- Instale la extensión. Si esta ya está instalada, compruebe que no está desactivada y actívela si es necesario.
Ahora, usted, sus clientes y revendedores podrán ver los certificados vendidos por dicho proveedor en la interfaz de SSL It!.
Elimine la habilidad para comprar certificados SSL/TLS de un determinado proveedor:
- Vaya a Extensiones > Mis Extensiones y localice la extensión de plugin correspondiente al proveedor deseado.
- Elimine o desactive la extensión.
Usted, sus clientes y revendedores ya no verán los certificados vendidos por dicho proveedor en la interfaz de SSL It!. Esto no afectará a aquellos clientes que ya hayan comprado certificados SSL/TLS de dicho proveedor.
SSL It! ha mejorado la probabilidad de emisión de certificados
SSL It! cuenta con una prestación predeterminada que aumenta de forma significativa el número de casos en que los certificados SSL/TLS de Let’s Encrypt no pueden emitirse debido a configuraciones de dominio incompatibles.
Cuando obtiene un certificado SSL/TLS de Let’s Encrypt, sus servidores deben validar que usted controla los nombres de dominio en el certificado. Para ello, Let’s Encrypt usa los denominados “desafíos”: Let’s Encrypt proporciona un archivo token que Plesk guarda en http://<your_domain>/.well-known/acme-challenge/<token>
. A este directorio lo denominamos el directorio de desafío común. El certificado no podrá emitirse si no es posible acceder a este directorio, lo que puede suceder debido a las siguientes configuraciones:
- El directorio se protegió con una contraseña.
- El sitio web que desea proteger fue bloqueado por la prestación “Denegar acceso al sitio web”.
- Tipos MIME incorrectos, etc.
Al instalarse, SSL It! garantiza que el directorio de desafío común es soportado y que puede accederse a él incluso en el caso de que se detecte alguna configuración incompatible. La prestación «soporte de directorio de desafío común» viene activada por defecto en Plesk para Linux y Windows.
De ser necesario, puede desactivar la prestación mediante la CLI ejecutando el siguiente comando:
plesk ext sslit --common-challenge-dir –disable
De todos modos, le recomendamos mantener activado el soporte para el directorio de desafío común.
Si ha actualizado a SSL It! 1.4.0, el soporte de directorio de desafío común se activará automáticamente a menos que la opción use-common-challenge-dir
se haya desactivado en panel.ini
. Si la opción fue desactivada, deberá activar el soporte manualmente ejecutando el siguiente comando:
plesk ext sslit --common-challenge-dir –enable
A partir de SSL It! 1.4.0, ya no se usa la opción use-common-challenge-dir.
Cómo evitar intentos fallidos de los clientes para emitir certificados wildcard de Let’s Encrypt
Por defecto, la emisión de certificados wildcard de Let’s Encrypt está disponible para todos los dominios propiedad de sus clientes. De todos modos, la emisión puede realizarse con éxito o no en función de la configuración DNS de los dominios. En SSL It!, puede ocultar la habilidad para emitir certificados wildcard de Let’s Encrypt para dominios que no puedan protegerse automáticamente con estos certificados.
SSL It! puede emitir certificados wildcard de Let’s Encrypt de forma automática únicamente para dominios que usen Plesk como el servidor DNS principal o un servicio DNS de terceros sincronizado con Plesk. Si un servicio DNS no está sincronizado con Plesk, SSL It! no puede proteger dominios con certificados wildcard de Let’s Encrypt. Así, los clientes no podrán emitir este tipo de certificados, ocasionando un aumento en el número de tickets de soporte. Con el fin de reducir la carga de su equipo de soporte, puede ocultar la habilidad para emitir certificados wildcard de Let’s Encrypt para dominios cuyos registros DNS no estén alojados en Plesk.
Para evitar intentos fallidos de los clientes para emitir certificados wildcard de Let’s Encrypt:
-
Vaya a Extensiones > pestaña «Mis extensiones» > haga clic en Abrir al lado de SSL It!.
-
En la parte de arriba de la pantalla, haga clic en «Configuración» y seleccione «Dominios con los servidores de nombres especificados».
-
En el cuadro de texto que se muestra a continuación, indique los servidores de nombres de dominios cuyos registros DNS están alojados en Plesk o en un servicio DNS de terceros sincronizado con Plesk (como puede ser el caso de DigitalOcean DNS, Amazon Route 53 o Azure DNS).
Separe los servidores de nombres con comas. Para indicar servidores de nombres de todos los dominios cuyos registros DNS están alojados en Plesk, puede usar el marcador
<domain>
:ns1.<domain>, ns2.<domain>
-
Haga clic en Guardar.
Ahora los clientes pueden emitir certificados wildcard de Let’s Encrypt únicamente para dominios que puedan protegerse de forma automática.
También puede ocultar la habilidad para emitir certificados wildcard de Let’s Encrypt mediante la CLI. Para ello, ejecute el comando con el siguiente patrón:
plesk ext sslit --wildcard-configuration -enable –nameservers 'ns1.<domain>,ns2.<domain>'
Si desea más información, ejecute el comando plesk ext sslit --help
.
Limitación de la habilidad para comprar certificados SSL/TLS de pago
Es posible limitar la habilidad de los clientes para comprar certificados SSL/TLS de pago de determinados proveedores u ocultar el botón «Obtener certificados». Los clientes seguirán pudiendo proteger sus sitios web con certificados SSL/TLS de Let’s Encrypt.
Limite la habilidad para comprar certificados SSL/TLS de pago de uno o más proveedores:
-
Debajo de «[extensions]», añada la siguiente línea:
blacklist = <comma-separated list of IDs of SSL It! plugin extensions>
Por ejemplo, para limitar la habilidad para comprar certificados SSL/TLS de Symantec (DigiCert), añada las siguientes líneas:
[extensions] blacklist = symantec
La limitación de la habilidad para comprar certificados SSL/TLS de pago de un determinado proveedor no afectará a aquellos clientes que ya hayan comprado certificados SSL/TLS de dicho proveedor. Para restaurar la habilidad para comprar certificados SSL/TLS de pago de un proveedor, elimine los IDs de la extensión de plugins SSL It! correspondiente de la lista negra editando el archivo panel.ini
de nuevo.
Oculte el botón «Obtener certificados»:
-
Debajo de
[ext-sslit]
, añada la siguiente línea:showGetMoreCertificatesLink = false
La ocultación del botón «Obtener certificados» no afectará a aquellos clientes que ya hayan comprado certificados SSL/TLS ni a la habilidad de los clientes para proteger sus sitios web con certificados SSL/TLS de Let’s Encrypt. Además, si en el servidor se ha instalado la extensión Sectigo, los clientes podrán comprar certificados de Sectigo a pesar de que el botón «Obtener certificados» esté oculto. Si desea que el botón sea visible, elimine la línea editando el archivo panel.ini
de nuevo.