Le comportement de l’extension Let’s Encrypt dépend de plusieurs paramètres, par exemple :

  • Délai avant expiration et renouvellement des certificats Let’s Encrypt.
  • Enregistrement ou non des requêtes du serveur ACME dans les logs Plesk.
  • Taille de la clé privée RSA, etc.

Vous pouvez modifier ces paramètres en saisissant des valeurs personnalisées dans la section [ext-letsencrypt] du fichier de configuration panel.ini. Par exemple, pour renouveler les certificats Let’s Encrypt 45 jours avant date d’expiration et pour passer la taille de la clé privée RSA à 4 096 bits, ajoutez la section suivante au fichier panel.ini :

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096

Sécurité des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt

L’extension Let’s Encrypt permet de protéger automatiquement les sites Web hébergés avec des certificats de confiance gratuits de Let’s Encrypt. Vous pouvez activer ou désactiver cette fonction pour chaque pack d’hébergement. Quand vous activez cette fonction pour un pack d’hébergement, un domaine, un sous-domaine, un alias de domaine ou une messagerie Web appartenant à un abonnement basé sur un pack d’hébergement, étant soit :

  • Avec protection par un certificat SSL/TLS autosigné.
  • Avec protection par un certificat SSL/TLS expiré.
  • Non protégé par un certificat SSL/TLS.

le certificat SSL/TLS autosigné ou expiré est remplacé par le certificat Let’s Encrypt.

L’extension Let’s Encrypt peut également remplacer les certificats SSL/TLS non générés par l’une des autorités de certification de confiance, en plus de remplacer les certificats SSL/TLS autosignés et expirés. Pour ce faire, définissez le paramètre check-domain-cert-authority sur true. Pour en savoir plus sur le paramètre check-domain-cert-authority, consultez la « Liste des paramètres Let’s Encrypt ».

Pour protéger des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt :

  1. Allez sous  Packs de services.
  2. Sur l’onglet « Packs d’hébergement », cliquez sur  Ajouter un pack pour créer un pack ou cliquez sur le nom d’un pack existant pour le modifier.
  3. Allez sur l’onglet « Autres services ».
  4. Sous « Let’s Encrypt », sélectionnez « Garder les sites Web sécurisés avec des certificats SSL gratuits ».
  5. Cliquez sur  OK (ou Mettre à jour & Synchroniser si vous modifiez un pack existant).

Désormais, tous les domaines, sous-domaines, alias de domaines et messageries Web qui appartiennent aux abonnements basés sur ce pack d’hébergement seront protégés automatiquement avec des certificats Let’s Encrypt. Ce changement s’applique aux nouveaux abonnements ainsi qu’aux abonnements existants.

Vous pouvez également activer l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » via l’API XML et la requête suivante :

<?xml version="1.0" encoding="UTF-8"?>
<packet>
  <service-plan>
    <add-plan-item>
      <filter>
        <name>Default Domain</name>
      </filter>
      <plan-item>
        <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
      </plan-item>
    </add-plan-item>
  </service-plan>
</packet>

Liste des paramètres Let’s Encrypt

Tous les paramètres de l’extension Let’s Encrypt utilisables dans le fichier panel.ini sont décrits ci-dessous :

Paramètre Type Description Valeur par défaut

serveur

(obsolète)

string

URL du répertoire du serveur ACME.

Dans Let’s Encrypt 2.6.0 et versions ultérieures, ce paramètre est remplacé par acme-directory-url.

Pour le moment, le paramètre server est toujours pris en charge mais il disparaîtra bientôt. Remplacez le paramètre server par acme-directory-url.

https://acme-v01.api.letsencrypt.org/directory
rsa-key-size integer Taille de la clé privée RSA en bits. 2048
user-agent string En-tête HTTP du User-Agent. Plesk/$PRODUCT_VERSION
letsencrypt-url string URL du site Web Let’s Encrypt https://letsencrypt.org/
terms-url string URL du répertoire politique et juridique Let’s Encrypt (Policy et Legal). https://letsencrypt.org/repository/
renew-before-expiration integer Nombre de jours avant expiration et renouvellement automatique du certificat. 30
config-dir string Chemin de stockage des certificats pour intégration tierce. $PRODUCT_ROOT/var/modules/letsencrypt/etc
verify string Chemin vers le bundle des certificats CA Root de confiance. $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem
disable-cleanup booléen Désactiver le nettoyage de fichiers token après la résolution des litiges liés au domaine. false
log-requests booléen Enregistrer les requêtes vers le serveur ACME dans le fichier journal de Plesk. false
secure-new-domain booléen Définir le statut par défaut de la case « Sécuriser le domaine avec Let’s Encrypt » lors de la création d’un abonnement, d’un domaine ou d’un sous-domaine. false
letsencrypt-docs-rate-limits-url string URL de la documentation Let’s Encrypt sur les « Rate Limits ». Le lien est affiché dans les messages d’erreur de l’interface de l’extension lorsque les limites Let’s Encrypt ont été dépassées. https://letsencrypt.org/docs/rate-limits/
check-availability-delay integer *Durée d’attente en secondes entre les tentatives de vérification d’accessibilité d’un domaine via HTTP. 5
check-availability-max-attempts integer *Nombre maximal de tentatives de vérification d’accessibilité d’un domaine via HTTP. 10
check-availability-timeout integer *Délai maximal en secondes pour vérifier l’accessibilité d’un domaine via HTTP. Si aucun code de réponse n’est reçu pendant le temps défini par check-availability-timeout, le domaine est considéré comme non disponible. 5
check-domain-cert-authority booléen Quand l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » est activée, si vous définissez ce paramètre sur « false », l’extension Let’s Encrypt remplace uniquement les certificats SSL/TLS autosignés et expirés. Si vous le définissez sur « true », l’extension remplace également les certificats SSL/TLS qui ne sont pas de confiance par l’un des certificats racine du paquet de certificats CA racine de confiance (voir le paramètre verify). false
send-notifications-interval date interval Détermine la fréquence à laquelle l’extension Let’s Encrypt vous envoie des notifications (par exemple, lorsqu’un domaine est protégé avec un certificat Let’s Encrypt ou lors du renouvellement d’un certificat Let’s Encrypt). Par défaut, l’extension vous envoie un mail de notification par jour. Ce mail inclut des informations sur tous les événements liés à Let’s Encrypt, survenus depuis l’envoi de la notification précédente. Si vous voulez recevoir un mail de notification à chaque fois qu’il y a un événement, ce paramètre doit être défini sur 0. 1 jour
use-common-challenge-dir  

Définit l’utilisation du répertoire « challenge » commun : /var/www/vhosts/default/.well-known/acme-challenge.

Note:

ce paramètre concerne Plesk pour Linux version 12.5 et versions ultérieures.

true
fallback-registration-email   Utilisée comme adresse d’enregistrement lors du renouvellement des certificats SSL/TLS. Utilisée uniquement en l’absence d’adresse mail au niveau de l’enregistrement du domaine dans les paramètres des modules et de l’adresse mail du propriétaire du domaine. Adresse mail de l’administrateur
acme-directory-url  

URI de ressources du répertoire.

ACME v1: https://acme-v01.api.letsencrypt.org/directory

ACME v2: https://acme-v02.api.letsencrypt.org/directory

https://acme-v01.api.letsencrypt.org/directory

Pour générer des certificats SSL/TLS Wildcard, remplacez la valeur par défaut par https://acme-v02.api.letsencrypt.org/directory.

acme-protocol-version  

Protocole de version ACME.

Valeurs possibles : acme-v01, acme-v02.

acme-v02

Pour générer des certificats SSL/TLS, la valeur par défaut doit être acme-v02.

Note: *l’extension Let’s Encrypt vérifie si un domaine est accessible via GHTTP à chaque fois qu’un nouveau domaine est protégé, car les domaines peuvent être indisponibles un certain temps après leur création dans Plesk. Tous les paramètres commençant par check-availability sont appliqués pendant cette vérification.

Note: si vous avez installé l’extension Let’s Encrypt 2.0.3 ou version antérieure, mettez-la à jour vers la version 2.1 ou version ultérieure pour modifier les paramètres Let’s Encrypt via le fichier de configuration panel.ini.