Introduzione
Il certificato SSL (Secure Socket Layer) è un must-have di ogni servizio web per terzi. Tramite un certificato SSL, gli utenti che si collegheranno al tuo spazio web potranno avere garanzia di protezione dei loro dati sensibili durante lo scambio di informazioni con il tuo server. Ciò avviene proprio mediante l'omonimo protocollo SSL che permette uno scambio di informazioni criptate.
Su SSL si basa il protocollo HTTPS, indice di affidabilità di molti spazi web su cui debbano viaggiare informazioni sensibili degli utenti (e-commerce, social, ecc...).
Plesk ti viene incontro nella gestione dei certificati SSL/TLS per i tuoi domini web, tramite il suo componente SSL It!. Questo componente di Plesk ti permette di gestire i certificati SSL per i domini e offre anche la possibilità di forzare le connessioni al protocollo HTTPS, reindirizzando o bloccando le connessioni HTTP.
In questa guida, ti verranno mostrate alcune funzionalità di base di questa estensione per Plesk. Questo è il terzo episodio di una serie su Plesk: se non hai ancora installato Plesk sul tuo server segui prima il tutorial su Come installare Plesk.
N.B. Le immagini di esempio in questo tutorial sono relative ad una istanza di Plesk in lingua inglese con una licenza "Web Admin Edition" fino a 10 domini, quindi possono differire rispetto all'istanza da te installata. La visualizzazione dei domini mostrata è impostata su "Elenco Attivo" che differisce, per alcune funzionalità, dalle altre modalità di visualizzazione.
Puoi cambiare la modalità di visualizzazione dell'elenco dei domini cliccando sull'icona a forma di chiave inglese sulla destra della vista.
Utilizzo di SSL It!
Controllo della sicurezza del proprio dominio
Un primo passo da fare è controllare lo stato di sicurezza del proprio spazio web. Per far ciò, è sufficiente ricercare nel menu la voce "Siti web e domini" e cliccare su "Il tuo dominio".
Sull'interfaccia potrai verificare che il tuo sito sia protetto o meno, come nell'immagine.
Nell'esempio il tuo spazio web non risulta protetto per mancanza dei certificati SSL/TLS. Ti spiegheremo ora come rendere sicuro il tuo dominio tramite l'aggiornamento dei certificati.
Ottenere un certificato SSL/TLS
L'estensione per Plesk ti consente di utilizzare certificati SSL gratuiti o a pagamento oppure di caricare direttamente un certificato già in tuo possesso.
Ottenere un certificato gratuito di Let's Encrypt
Andando per gradi, partiamo con l'analizzare il caso dei certificati gratuiti. Per poterne usufruire, basta seguire i seguenti passaggi:
- Collegati alla sezione Siti web e domini - Il tuo dominio - Certificati SSL/TLS
- Clicca sulla voce "Ottieni gratis"
- Inserisci una email da poter utilizzare per la ricezione delle notifiche o per il recupero delle credenziali
- Ora avrai delle scelte di protezione da poter selezionare:
- Proteggere il dominio e i relativi alias o sottodomini
- Proteggere la webmail appartenente al dominio
- Includere tutte le protezioni con protezione dominio wildcard
- Clicca su "Ottieni Gratis".
N.B. In questa guida utilizziamo il server Plesk come Name Server del dominio, pertanto l'aggiornamento della zona DNS verrà effettuato in automatico da Plesk. Qualora non fosse questo il tuo caso dovrai inserire manualmente il record TXT mostrato da Let's Encrypt nel pannello di controllo della zona DNS del tuo dominio.
A questo punto, disporrai di un certificato SSL/TLS di Let's Encrypt per il tuo spazio web.
Tieni presente che i certificati SSL di Let's Encrypt hanno una validità massima di 3 mesi (90 giorni) e quindi è necessario rinnovarli entro tale scadenza. Fortunatamente la procedura in Plesk è automatizzata e il sistema entro 30 giorni dalla scadenza procede automaticamente al rinnovo del certificato, come descritto meglio nel paragrafo dedicato.
Ottenere un certificato a pagamento
Una seconda modalità per ottenere un certificato SSL/TLS è acquistarne uno.
Puoi acquistare un certificato da Actalis, la Certification Authority di Aruba, semplicemente navigando su shop.actalis.com/store/?site=aruba e procedendo all'acquisto del certificato che preferisci.
Mentre con Let’s Encrypt è possibile ottenere solamente un certificato SSL di classe DV (Domain Validation), tramite Actalis sarà possibile acquistare anche dei certificati SSL di classe OV (Organization Validation) e EV (Extended Validation), che permettono di certificare l'attendibilità dell'azienda offrendo una maggiore garanzia di affidabilità.
Inoltre con l'acquisto su Actalis si otterrà un certificato con validità di 1 anno intero, che non dovrà essere rinnovato ogni 90 giorni.
Caricare i certificati SSL/TLS
Nel caso in cui dovessi aver ottenuto un certificato tramite un mezzo esterno a SSL It!, potrai caricare il certificato in tuo possesso tramite la seguente procedura:
- Collegati alla sezione Siti web e domini - Il tuo dominio - Certificati SSL/TLS
- Clicca su "Carica"
- Esegui l'upload del file .pem che contiene il certificato SSL/TLS
A questo punto, il caricamento del tuo certificato sarà stato completato.
Rinnovare i certificati SSL/TLS
Ovviamente, anche i certificati di sicurezza hanno una scadenza e necessitano di essere rinnovati per poter continuare a garantire l'affidabilità del tuo dominio.
L'estensione di Plesk ti viene incontro in questa operazione, garantendoti il rinnovo di un certificato SSL/TLS con 30 giorni di anticipo rispetto alla data di scadenza. Ciò, però, vale solo sui certificati gratuiti installati sul tuo dominio, poichè i certificati a pagamento vanno acquistati nuovamente.
Nel caso dei certificati gratuiti, sarà sufficiente collegarti alla sezione dedicata ai certificati, come visto in precedenza, e cliccare sulla voce "Mantieni i siti web sicuri". Tramite questa funzionalità attivata, SSL It! si occuperà di gestire il rinnovo dei certificati gratuiti.
Nel caso dei certificati a pagamento, sempre collegandoti alla sezione dedicata, dovrai cercare la voce "Riemetti certificato", situata vicino al tuo certificato a pagamento. Da qui, sarà sufficiente seguire una procedura di acquisto, simile a quella precedentemente indicata, per installare un nuovo certificato a pagamento.
Annullare i certificati SSL/TLS
E' possibile, ovviamente, revocare un certificato dal tuo dominio. Per far ciò, sarà sufficiente collegarsi alla sezione dedicata ai certificati e cliccare sulla voce "Annulla assegnazione certificato", vicino al certificato che si desidera revocare.
Potenziare la sicurezza dei siti web
Oltre all'ottenimento dei certificati, ci sono molte altre cose che tu potresti fare per migliorare la sicurezza sul tuo dominio web. Ciò non solo ti consentirà di garantire agli utenti affidabilità durante l'uso dei tuoi servizi ma permetterà al tuo sito di migliorare anche il posizionamento nelle classifiche dei motori di ricerca.
Sostanzialmente, con Plesk avrai la possibilità di interagire con tre funzionalità:
- Reindirizzamento su HTTPS, versione sicura del protocollo HTTP
- HSTS, un protocollo che bloccherà tutte le connessioni in entrata di tipo HTTP
- OSCP, una funzionalità per forzare la verifica tramite l'autorità dei certificati della validità del certificato per il tuo sito web.
Puoi attivare o disattivare queste tre funzionalità dalla solita sezione dedicata ai certificati, individuandone le voci dedicate.
É bene far presente alcuni accorgimenti riguardanti le interazioni tra le funzionalità che potresti attivare e il certificato digitale installato sul tuo dominio:
- L'applicazione del protocollo HTTPS avrà effetto anche sul mailserver
- HSTS non permette connessioni HTTP: di conseguenza, se il tuo certificato dovesse scadere o non dovesse essere valido per i sottodomini o la webmail del tuo spazio web, HSTS non permetterà agli utenti la connessione, venendo a mancare il protocollo HTTPS
- OCSP non funziona con tutti i fornitori di certificati. Di conseguenza, è bene cercare sul web se il certificato che stai per acquisire sia compatibile con tale funzionalità. I certificati acquistati tramite Actalis sono pienamente compatibili con l'OCSP.
Quanto è sicuro il tuo sito?
SSL It! fornisce un tool, chiamato Qualys SSL Labs, che permetterà di valutare la sicurezza del tuo sito e scoprire quali siano le falle di sicurezza che potresti migliorare.
Per utilizzare il tool, sarà sufficiente collegarsi alla sezione dedicata ai certificati del tuo dominio e individuare la voce "Esegui test di laboratorio SSL".
Il test durerà qualche minuto e il massimo rank che potrai ottenere sarà A+.
Conclusioni
Ben fatto! Alla fine di questa guida, il tuo spazio web dovrebbe essere discretamente protetto e sarai in grado di fornire affidabilità ai tuoi utenti, oltre a poter monitorare costantemente la sicurezza del tuo sito e la validità dei tuoi certificati SSL/TLS.
Nel prossimo episodio delle serie potremo quindi vedere come è possibile installare facilmente un'applicazione sul tuo spazio web attraverso il pannello Plesk.