Guía de SSL | Documentación de cPanel y WHM

Guía de SSL

Válido para las versiones 92 hasta la última versión


Última modificación: 30 de julio de 2021

Visión general

SSL / TLS (Secure Sockets Layer / Transport Layer Security) cifra la información entre el navegador de un visitante y un servidor. Estos protocolos protegen contra los espías electrónicos. Esto también protege las comunicaciones confidenciales (por ejemplo, números de tarjetas de crédito e información de inicio de sesión).

Ambos protocolos inician un protocolo de enlace, durante el cual su servidor y la computadora del usuario acuerdan condiciones específicas. Estas condiciones incluyen un conjunto de claves públicas y privadas. Ambas computadoras utilizan estas claves para cifrar y descifrar los mensajes transmitidos durante la comunicación.

Nota:

  • Puede configurar SSL / TLS para su servidor y configurar cómo se ejecutan los certificados SSL / TLS en cPanel’s SSL / TLS interfaz (cPanel >> Inicio >> Seguridad >> SSL / TLS).

  • cPanel, LLC hace no ofrezca certificados de nombre de host autofirmados o firmados de forma gratuita para los servidores cPanel DNSOnly®.

Certificados SSL

Un certificado SSL es un documento electrónico que vincula digitalmente una clave pública a una identidad. Esto ayuda a proteger la conexión entre un navegador web y un sitio web. Un certificado SSL cumple las siguientes funciones:

  • Cifrado: codifica datos. Esto ayuda a garantizar que si alguien intercepta la transmisión, no pueda entenderla.

  • Verificación de identificación: esto asegura que se conecte al servidor correcto.

Nota:

  • Los certificados SSL revisan literalmente los nombres de dominio. Por ejemplo, SSL interpreta www.example.com y example.com como dos dominios diferentes.
  • La entrada de nombre común (CN) de un certificado SSL es cosmética y no no afectar la seguridad de un certificado.
  • El CN de un certificado SSL no debe ser el dominio principal. El certificado cubre todos dominios enumerados en el campo Nombre alternativo del sujeto (SAN) del certificado.

Seguridad de clave SSL

Cuando genera un certificado SSL, puede seleccionar el tipo de clave que utiliza su certificado SSL. También puede seleccionar el tipo de clave que el sistema usa por defecto al generar certificados SSL:

  • En WHM, use cualquiera de WHM Configuración SSL / TLS interfaz (WHM >> Inicio >> SSL / TLS >> Configuración SSL / TLS) o la Tipo de clave SSL / TLS predeterminado ajuste en WHM’s Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración).

    Nota:

    Esta configuración solamente se aplica a los usuarios de cPanel que no establecer un tipo de clave predeterminado.

  • En cPanel, use el SSL / TLS interfaz (cPanel >> Inicio >> Seguridad >> SSL / TLS).

Importante:

Al seleccionar un nuevo tipo de clave predeterminada, el sistema realiza una AutoSSL correr. Esto actualiza todos instaló certificados emitidos por AutoSSL para usar el nuevo tipo de clave.

Tipos de certificado

Cuando trabaja con SSL, puede encontrar los siguientes tipos de certificados SSL:

  • Dominio único – Este tipo de certificado protege un solo dominio o subdominio.

  • Multidominio – Este tipo de certificado protege muchos dominios con un certificado. También se denomina certificado de comunicaciones unificadas / nombre alternativo del sujeto (UC / SAN).

    Nota:

    usted debe vuelva a emitir certificados de varios dominios cada vez que agregue un nuevo nombre de host.

  • Autofirmado – Este tipo de certificado no no Verifica la identidad del servidor y no no requieren una CA. Estos certificados son no seguro. Los navegadores de los visitantes mostrarán una advertencia cuando accedan al sitio. Puede crear un certificado SSL autofirmado en WHM Genere un certificado SSL y una solicitud de firma interfaz (WHM >> Inicio >> SSL / TLS >> Generar un certificado SSL y una solicitud de firma).

    Importante:

    Nosotros fuertemente recomiendo usar un válido firmado certificado si su sitio web maneja datos sensibles.

  • SSL compartido – Este tipo de certificado le permite proteger varios dominios con el mismo certificado SSL.

    Nota:

    A partir de la versión 76 de cPanel y WHM, no admite este tipo de certificado.

  • Comodín – Cualquier tipo de certificado que contenga un comodín (*) dominio. Puede proteger los subdominios de un dominio con un solo certificado si comparten una dirección IP. Por ejemplo, puede utilizar un comodín para *.example.com dominio para asegurar también el mail.example.com y www.example.com subdominios. Sin embargo, esto no asegurar el a example.com dominio.

    Nota:

    • Puede aplicar un certificado comodín a los servicios en WHM Gestionar certificados SSL de servicio interfaz (WHM >> Inicio >> Configuración del servicio >> Gestionar certificados SSL de servicio).

    • los root el usuario puede instalar un certificado comodín en una colección de subdominios para un solo root dominio en varias direcciones IP. Si esta configuración utiliza varias direcciones IP, un usuario del servidor no poder poseer el root dominio.

Soporte SNI

Indicación del nombre del servidor La compatibilidad con (SNI) le permite alojar varios certificados SSL para diferentes dominios en la misma dirección IP. Al comienzo del proceso de negociación, SNI indica el nombre de host al que se conecta el cliente. Los usuarios de servidores compartidos que admiten SNI pueden instalar sus propios certificados sin una dirección IP dedicada.

Nota:

Los servidores de cPanel y WHM no admite SNI para el servicio FTP.

Autoridades de certificación

Su autoridad de certificación (CA) es la entidad de terceros de confianza que emite sus certificados SSL.

Archivos de paquete de CA

Generalmente, cuando compra un certificado SSL, la CA le proporcionará un archivo de paquete de CA. Algunos proveedores le enviarán el archivo del paquete como .cab o .zip , otros proporcionan los archivos individualmente y algunos le proporcionarán una URL para descargar el archivo del paquete.

Un archivo de paquete contendrá los siguientes detalles sobre el certificado SSL:

  • La CA que emitió el certificado.

  • Cualquiera de los certificados de la CA, raíz o intermedio.

  • La cadena de confianza para el emisor.

    Nota:

    Una CA puede responder por otras CA, lo que da como resultado una cadena de confianza. Para que una CA venda certificados, otra CA debe responder por ellos.

  • Listas de revocación de certificados (CRL).

Nota:

  • El orden de los archivos en un paquete es importante. Si la CA envía archivos individuales, le recomendamos que les pida que los empaqueten en un archivo de paquete por usted.

  • Los archivos de paquete para certificados EV (Validados extendidos) pueden contener más archivos que certificados que los certificados OV (Validados por organización) y DV (Validados por dominio).

Los navegadores incluyen una lista de CA confiables y utilizan la lista para determinar si se debe confiar en una CA específica.

Puede ubicar el paquete de CA de un dominio con cualquiera de las siguientes funciones de UAPI:

Puede instalar un paquete de CA en cualquiera de las siguientes interfaces:

También puede utilizar la UAPI SSL::install_ssl función para instalar un paquete de CA.

Registros CAA

Un registro de Autorización de Autoridad de Certificación (CAA) especifica qué CA pueden emitir certificados para un dominio. Si no existen registros de CAA para un dominio, todas las CA pueden emitir certificados para ese dominio. Puede administrar los registros de CAA a través de WHM Administrador de zona DNS interfaz (WHM >> Inicio >> Funciones DNS >> Administrador de zona DNS) oa través de cPanel’s Editor de zona interfaz (cPanel >> Inicio >> Dominios >> Editor de zona).

Si ya existen registros CAA conflictivos, debe elimine los registros CAA actuales o agregue uno para el CAA deseado. Por ejemplo, un registro CAA para Sectigo se parecería al siguiente ejemplo, donde example.com representa el nombre de dominio:

example.com.    86400   IN  CAA 0 issue "sectigo.com"

De manera similar, un registro CAA para Let’s Encrypt se parecería al siguiente ejemplo, donde example.com representa el nombre de dominio:

example.com.    86400   IN  CAA 0 issue "letsencrypt.com"

AutoSSL

AutoSSL protege varios dominios con el supuesto de que todos los dominios se resuelven en el mismo host virtual. Un certificado AutoSSL emitido por cPanel vence después de 90 días. Sin embargo, AutoSSL intenta reemplazar automáticamente ese certificado antes de que caduque.

Si su proveedor de alojamiento ha habilitado las notificaciones para AutoSSL, el sistema le enviará un correo electrónico cuando genere o renueve un certificado AutoSSL para un dominio.

Importante:

  • Puede utilizar el proveedor cPanel (con tecnología de Sectigo) para proteger hasta 1.000 dominios por certificado.

  • AutoSSL hace no emitir certificados para sitios web en cuentas suspendidas. usted debe primero active la cuenta para que AutoSSL emita un certificado.

  • AutoSSL agrega subdominios de servicio al certificado SSL mediante un algoritmo de clasificación. Para obtener más información sobre los subdominios de servicio, lea nuestro Subdominios de servicio y proxy documentación.

Clasificación AutoSSL

AutoSSL utiliza un algoritmo de clasificación para establecer qué dominios agregar al certificado primero. Este orden de clasificación garantiza que el sistema agregue los dominios que los clientes probablemente visitarán primero al certificado. Por ejemplo, lo más probable es que los clientes tengan la intención de navegar a example.com versus www.subdomain.example.com.

El algoritmo de clasificación predeterminado prioriza los dominios en el siguiente orden:

  1. Cualquier nombre de dominio completo (FQDN) que protege el certificado SSL actual del host virtual.

  2. El dominio principal de la cuenta de cPanel y su ipv6, www. y mail. subdominios.

  3. Cada dominio adicional y su www. y mail. subdominios. Por ejemplo, el example Usuario de cPanel (cuyo dominio principal es example.com), crea el foo.com dominio adicional. Este dominio adicional, como todos los dominios adicionales de cPanel, existe en un host virtual separado con un subdominio. En este caso, el sistema prioriza foo.com sobre foo.example.com.

  4. Dominios con menos puntos. Por ejemplo, AutoSSL priorizaría foo.com sobre de www.foo.com.

  5. los www, mail, whm, webmail, cpanel, autodiscover, y webdisk subdominios.

    Nota:

    AutoSSL solo agrega el whm subdominio de servicio al certificado SSL para cuentas de revendedor.

  6. Dominios más cortos.

Proveedores de AutoSSL

El proveedor de cPanel (impulsado por Sectigo)

Por defecto, cPanel & WHM usa el proveedor cPanel (impulsado por Sectigo). Es gratis y viene con su licencia de cPanel y WHM.

El complemento Let’s Encrypt

Puede instalar el complemento Let’s Encrypt ™ AutoSSL. Esto te permite seleccionar Vamos a cifrar como proveedor. Para obtener más información sobre el complemento, lea nuestro Vamos a cifrar el complemento documentación.

El proveedor Let’s Encrypt tiene las siguientes limitaciones:

  • Un límite de tasa de 300 pedidos de certificados cada tres horas.

  • A semanalmente límite de 50 dominios registrados.

  • A máximo de 100 subdominios por certificado.

  • Limita los certificados que emite a un conjunto específico de dominios para cinco certificados por semana. Después de esto, Let’s Encrypt bloquea cualquier certificado adicional para ese conjunto de dominios.

    Nota:

    Para evitar este límite de tasa, crear un alias para un dominio en la lista de hosts virtuales (sitio web). Let’s Encrypt interpretará el host virtual como un nuevo conjunto de dominios.

Para obtener más información sobre los límites de velocidad de Let’s Encrypt, lea su documentación de límite de tarifa.

Límites de dominio y velocidad

La función AutoSSL incluye las siguientes limitaciones y condiciones:

  • La zona DNS de un dominio contiene registros CAA. Estos registros de CAA restringen qué CA pueden emitir certificados para ese dominio. Si ya existe un registro CAA para otro proveedor, puede eliminar ese registro CAA o agregar uno para la CA deseada. Si no existen registros CAA para …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *