Protección de conexiones con la extensión SSL It!
Vea el tutorial en vídeo (EN)
La extensión SSL It! ofrece una única interfaz para la protección de sus sitios web mediante certificados SSL/TLS de las autoridades de certificación (CAs) Let’s Encrypt y DigiCert (Symantec, GeoTrust y RapidSSL) o con cualquier otro certificado SSL/TLS. El uso de la extensión también le permite:
- Mejorar la seguridad de los visitantes de su sitio web mediante redireccionamientos de HTTP a HTTPS.
- Proteger a los visitantes de su sitio web impidiendo que los navegadores web puedan acceder al sitio web mediante conexiones HTTP inseguras.
- Proteger la privacidad de los visitantes de su sitio web y mejorar el rendimiento de su sitio web con Asociación de OCSP.
Primeros pasos en SSL It!
Para gestionar un certificado SSL/TLS de un dominio, vaya a Sitios web y dominios > su dominio. Puede ver el estado de seguridad actual del dominio debajo de «Certificados SSL/TLS»:
Protección de sitios web con certificados SSL/TLS
La extensión SSL It! le permite proteger sitios web con certificados SSL/TLS gratuitos o de pago (en estos momentos únicamente de DigiCert), así como con certificados SSL/TLS de los que ya disponga.
Para proteger un sitio web con un certificado SSL/TLS gratuito de Let’s Encrypt:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Debajo de «Más opciones», haga clic en Instalar:
-
Especifique la dirección de email que se usará para las notificaciones urgentes y para la recuperación de claves perdidas.
-
Seleccione aquello que desea proteger además del dominio principal:
- Proteger el nombre de dominio principal. Proteja únicamente el dominio principal. Si solo desea proteger el webmail, puede deseleccionar la casilla.
- Proteger el dominio wildcard (incluyendo www y webmail). Proteja el subdominio www y/o los alias de dominio y el webmail.
- Incluir un subdominio «www» para el dominio y los alias seleccionados. Proteja el subdominio www y/o alias de dominio.
- Proteger el webmail en este dominio. Proteja el webmail.
- Asignar el certificado al dominio de correo. Proteger el correo con el protocolo IMAP, POP o SMTP. Si dispone del subdominio www y/o alias de dominio, seleccione la casilla Incluir un subdominio «www» para el dominio y cada alias seleccionado.
-
Haga clic en Obténgalo gratis.
Se emitirá un certificado SSL/TLS de Let’s Encrypt, que se instalará automáticamente.
Nota: Si protege un dominio con un certificado SSL/TLS de Let’s Encrypt y posteriormente añade nuevos dominios, subdominios, alias de dominio o webmail a la suscripción, es posible protegerlos con SSL It! volviendo a emitir el certificado SSL/TLS de Let’s Encrypt. Para ello, vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS y active la opción «Conservar los sitios web protegidos».
Si desea obtener un certificado SSL/TLS de pago:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Para obtener la lista de certificados disponibles, haga clic en Obtener certificados:
-
Seleccione el certificado SSL/TLS que desea comprar y haga clic en el botón Comprar en el formulario del certificado. .. note:
To find an appropriate certificate, you can do the following: - Filter the available certificates. You can apply the "Recommended", "Wildcard", and "For organization use" filter sets. - Read more about a certificate (its validity period, validation type, and so on) by clicking the **Learn more** button in the certificate’s form.
-
En la ventana emergente de la tienda online de Plesk, indique su dirección y la información de pago y compre el certificado.
-
Cierre la ventana emergente.
-
Espere hasta que Plesk actualice el estado del pago o actualícelo manualmente haciendo clic en Volver a cargar. Plesk actualiza el estado del pago de forma automática una vez cada hora.
-
Una vez procesado el pago, haga clic en Indique los datos obligatorios.
-
Especifique la información de contacto y haga clic en ACEPTAR.
Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).
Nota: Algunos tipos de certificados SSL/TLS (como por ejemplo EV) requieren que realice algunas acciones adicionales. Es posible que deba responder a una llamada telefónica o a un email y enviar los documentos necesarios con el fin de que la autoridad de certificación valide su petición.
Una vez instalado el certificado SSL/TLS, en la pantalla Sitios web y dominios > su dominio > Certificados SSL/TLS se mostrará la información sobre el certificado SSL/TLS instalado (nombre, autoridad de certificación, dirección de email, etc.), los componentes protegidos y otras opciones (como puede ser el caso de «Redireccionamiento de HTTP a HTTPS» o «HSTS», entre otros).
Carga de certificados SSL/TLS
Es posible que desee cargar un certificado SSL/TLS si:
- Ya dispone de un certificado y desea usarlo para proteger su dominio.
- Desea instalar un certificado que no puede obtenerse mediante SSL It!.
Para cargar un certificado SSL/TLS:
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS y haga clic en Cargar.
-
Localice el archivo
.pem
del certificado SSL/TLS que desea cargar y haga clic en Abrir.
El certificado SSL/TLS se instalará automáticamente en el dominio.
Renovación de certificados SSL/TLS instalados
Con el fin de poder garantizar que su sitio web está continuamente protegido es imprescindible renovar el certificado SSL/TLS instalado de inmediato cuando sea el momento. La extensión SSL It! se lo pone muy fácil..
SSL It! renueva certificados SSL/TLS de Let’s Encrypt y DigiCert automáticamente 30 días antes de que expiren.
SSL It! no puede renovar certificados SSL/TLS de pago automáticamente, si bien usted puede:
- Volverlos a emitir manualmente.
- Configurar SSL It! para que automáticamente reemplace los certificados SSL/TLS expirados por certificados gratuitos de Let’s Encrypt.
Para volver a emitir certificados SSL/TLS de pago:
-
Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.
-
Haga clic en Volver a emitir el certificado. A continuación se le redireccionará a la tienda online de Plesk.
-
En la ventana emergente «Tienda online de Plesk», indique su dirección y la información de pago y compre el certificado.
-
Cierre la ventana emergente.
-
Espere hasta que Plesk actualice el estado del pago o actualícelo manualmente haciendo clic en Volver a cargar. Plesk actualiza el estado del pago de forma automática una vez cada hora.
-
Una vez procesado el pago, haga clic en Indique los datos obligatorios.
-
Especifique la información de contacto y haga clic en ACEPTAR.
Ahora, Plesk crea una petición de firma de certificado (CSR) automáticamente y recibe e instala el certificado SSL/TLS. Esto puede tarda un poco en función del tipo de certificado SSL/TLS. Puede actualizar el estado del certificado SSL/TLS manualmente haciendo clic en Volver a cargar o simplemente puede esperar a que Plesk lo haga automáticamente (Plesk comprueba el estado del certificado SSL/TLS una vez cada hora).
Si desea reemplazar automáticamente certificados SSL/TLS de pago expirados por certificados gratuitos de Let’s Encrypt:
- Vaya a Sitios web y dominios > su dominio protegido con el certificado SSL/TLS de pago que está a punto de expirar > Certificados SSL/TLS.
- Active «Conservar los sitios web protegidos».
Ahora, cuando expire su certificado de pago SSL/TLS, SSL It! emitirá un certificado SSL/TLS gratuito de Let’s Encrypt de forma automática para la protección de dominios, subdominios, alias de dominio y webmail pertenecientes a la suscripción. Como máximo, esto suele suceder una hora después de la expiración del certificado SSL/TLS.
Cancelación de la asignación de certificados SSL/TLS
- Vaya a Sitios web y dominios > el dominio el certificado SSL/TLS del cual desea que ya no esté asignado > Certificados SSL/TLS.
- Haga clic en Cancelar asignación de certificado y a continuación haga clic en ACEPTAR.
Mejora de la seguridad de sus sitios web
Proteger un sitio web únicamente con un certificado SSL/TLS válido de una autoridad de certificación de confianza no es ni mucho menos suficiente. SSL es una compleja tecnología que ofrece múltiples prestaciones (como por ejemplo algoritmo de cifrado de claves, asociación de OSCP y HSTS, entre otras) que pueden mejorar la seguridad de los visitantes de su sitio web y el rendimiento del mismo.
Al disponer de estas prestaciones, mejorará el posicionamiento de sus sitios web en los buscadores:
- El Redireccionamiento de HTTP a HTTPS ofrece un redireccionamiento 301 permanente, seguro y respetuoso con SEO de la versión HTTP insegura a la versión HTTPS segura del sitio web y/o webmail.
- HSTS impide que los navegadores web puedan acceder al sitio web mediante conexiones HTTP inseguras.
- OSCP insta al servidor web a solicitar el estado del certificado del sitio web (puede ser correcto, revocado o desconocido) a la autoridad de certificación, en vez de al navegador del visitante.
Prudencia: Antes de activar estas prestaciones, compruebe que es posible acceder a su sitio web mediante HTTPS sin ningún tipo de incidencia. De lo contrario, es posible que los visitantes experimenten problemas para acceder a su sitio web.
Para mejorar la seguridad de sus sitios web:
-
Proteja su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza.
-
Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
-
Active el «Redireccionamiento de HTTP a HTTPS», si no lo está. Este se aplicará tanto al sitio web como al webmail.
Nota: Si su webmail no se encuentra protegido por ningún certificado SSL/TLS válido o no dispone de webmail, deseleccione la casilla «Incluir webmail».
-
Nota: Si su certificado SSL/TLS expira antes del periodo «Max-age» pero desea seguir usando HSTS, le recomendamos activar «Conservar los sitios web protegidos». Ahora, cuando expire el certificado SSL/TLS, SSL It! emitirá automáticamente un certificado gratuito de Let’s Encrypt para que pueda proteger dominios, subdominios, alias de dominio y webmail perteneciente a la suscripción. El sitio web estará constantemente protegido y HSTS seguirá funcionando.
-
Active «Asociación de OCSP».
Una vez mejorada la seguridad SSL de su sitio web, puede evaluarlo.
Habilitación de HSTS
- Active HSTS.
- Compruebe que el certificado SSL/TLS que protege su sitio web será válido durante el periodo «Max-age». Haga lo mismo para los subdominios y el subdominio webmail.
Advertencia: Si el certificado SSL/TLS expira antes que el periodo Max-age y HSTS está habilitado, los visitantes no podrán acceder a su sitio web.
- Si sus subdominios no se encuentran protegidos con certificados SSL/TLS válidos o no dispone de ningún subdominio, deseleccione la casilla «Incluir subdominios».
- Si su subdominio webmail no se encuentra protegido por ningún certificado SSL/TLS válido o no dispone de webmail, deseleccione la casilla «Incluir webmail».
- Haga clic en Activar HSTS.
Limitaciones y problemas conocidos
- La asociación de OCSP solo funciona en el caso de sitios web protegidos mediante nginx con Apache o únicamente con nginx. Si sus sitios web solo se sirven mediante Apache, no es necesario activar «Asociación de OCSP».
- Es posible que la asociación de OCSP no funcione en el caso de certificados SSL/TLS de determinados proveedores (como puede ser el caso de certificados gratuitos de DigiCert) si la completa cadena de confianza no se encuentra en su sitio. Para verificar que su certificado soporta este tipo de asociación, ejecute el test de SSL Labs en su configuración SSL.
Evaluación de la seguridad SSL de su sitio web
Los navegadores conocidos como Google posicionan mejor aquellos sitios web que cuentan con protección SSL. En la extensión SSL It! puede ejecutar uno de los servicios de análisis más populares, Qualys SSL Labs, para lo siguiente:
- Verificar la calidad de la protección SSL de su sitio web.
- Comprobar posibles mejoras.
- Obtener A+, la máxima puntuación (tras mejorar la protección SSL, de ser necesario).
Para evaluar la seguridad SSL de su sitio web:
- Vaya a Sitios web y dominios > su dominio > Certificados SSL/TLS.
- Haga clic en Ejecutar prueba de SSL Labs.
En una nueva pestaña se abrirá el sitio web de Qualys SSL Labs y se iniciará el análisis de inmediato. Espere hasta que este finalice para obtener su puntuación. Esto puede tardar unos minutos.
Si protegió su sitio web con un certificado SSL/TLS válido de una autoridad de certificación de confianza y activó todas las prestaciones relacionadas con la mejora de la seguridad de SSL It!, lo más probable es que obtenga la puntuación A+.