🔒 SSL & domaines

Let's Encrypt dans Plesk

Émettre et renouveler automatiquement un certificat SSL/TLS gratuit depuis l'extension Let's Encrypt SSL It de Plesk.

débutant ⏱ 8 min Mise à jour : 2026-04-23

Let's Encrypt est une autorité de certification qui délivre gratuitement des certificats SSL/TLS valides 90 jours, renouvelés automatiquement. Plesk intègre l'extension SSL It! (installée par défaut) qui gère l'émission, le renouvellement et l'affectation aux services d'un domaine en quelques clics.

Prérequis

  • Le domaine doit pointer sur le serveur (enregistrement A ou AAAA correct).
  • Le port 80 doit être accessible depuis Internet — Let's Encrypt valide via un challenge HTTP-01 en déposant un fichier dans /.well-known/acme-challenge/.
  • Aucun enregistrement CAA restrictif ne doit empêcher Let's Encrypt (letsencrypt.org) d'émettre pour ce domaine.

Émettre un certificat

  1. Dans Plesk, ouvrez le domaine concerné (Sites Web & Domaines > votredomaine.fr).
  2. Cliquez sur Certificats SSL/TLS.
  3. Cliquez sur Installer un certificat gratuit basique (bouton Let's Encrypt).
  4. Cochez les options voulues :
    • Sécuriser le domaine — obligatoire.
    • Inclure www.votredomaine.fr — recommandé, évite les erreurs si un visiteur tape www.
    • Sécuriser la webmail — cochez si vous utilisez webmail.votredomaine.fr.
    • Sécuriser la messagerie (mail.votredomaine.fr) — cochez si vous hébergez le mail sur ce serveur.
    • Émettre un certificat wildcard*.votredomaine.fr. Requiert une validation DNS-01 (voir plus bas).
  5. Renseignez une adresse email (recevoir les notifications d'expiration en cas de souci).
  6. Cliquez sur Obtenir gratuitement.

Plesk lance la validation et, si tout va bien, affiche un cadenas vert en quelques secondes. Le certificat est automatiquement affecté à l'hébergement du domaine.

Renouvellement automatique
Un certificat Let's Encrypt est valide 90 jours. Plesk le renouvelle automatiquement 30 jours avant expiration. Vous n'avez rien à faire tant que le DNS et le port 80 restent OK.

Certificat wildcard (DNS-01)

Un wildcard *.votredomaine.fr couvre tous les sous-domaines d'un coup. Let's Encrypt n'émet de wildcards qu'avec une validation DNS-01 : Plesk vous demande de publier un enregistrement TXT _acme-challenge dans votre zone DNS.

  • Si votre DNS est géré par Plesk (même serveur, zone hébergée ici), c'est automatique.
  • Si votre DNS est externe (OVH, Cloudflare, Gandi), Plesk affiche la valeur à publier. Créez l'enregistrement TXT, attendez la propagation (1 à 5 minutes), puis cliquez sur Continuer.

Forcer HTTPS

Une fois le certificat posé, rien n'oblige les visiteurs à utiliser HTTPS. Deux moyens de forcer la redirection HTTP → HTTPS :

Option Plesk (le plus simple)

Dans Sites Web & Domaines > votredomaine.fr > Paramètres d'hébergement, cochez Redirection permanente SEO-safe 301 de HTTP vers HTTPS. Plesk injecte la règle côté serveur.

Via .htaccess

Si vous préférez gérer la redirection depuis votre code (ou si l'option Plesk n'est pas disponible) :

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

HSTS (bonus)

Une fois HTTPS forcé et stable depuis quelques semaines, activez HSTS pour dire aux navigateurs de ne plus jamais tenter HTTP. À ajouter dans .htaccess :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
⚠️
HSTS est irréversible côté navigateur
Une fois qu'un navigateur a reçu l'en-tête, il refuse tout HTTP pendant max-age. Testez avec max-age=300 (5 minutes) d'abord, passez à un an (31536000) quand vous êtes sûr que tout fonctionne en HTTPS.

Dépannage

« Unable to get local issuer certificate » ou challenge HTTP échoue

Plesk n'arrive pas à valider via /.well-known/acme-challenge/. Causes fréquentes :

  • Le domaine ne pointe pas sur le serveur — vérifiez le A record avec dig +short votredomaine.fr.
  • Une règle .htaccess redirige /.well-known/. Ajoutez une exception au tout début : 
    RewriteEngine On
RewriteRule ^\.well-known/ - [L]
  • WordPress (ou autre CMS) intercepte toutes les URL. Même correctif .htaccess.
  • Un firewall ou un WAF bloque le port 80 depuis l'extérieur.

Enregistrement CAA bloquant

Si vous avez un enregistrement CAA dans votre DNS, il doit autoriser Let's Encrypt :

@  CAA  0 issue "letsencrypt.org"
@  CAA  0 issuewild "letsencrypt.org"

Sans CAA, n'importe quelle AC peut émettre — Let's Encrypt fonctionne. Avec un CAA qui n'inclut pas letsencrypt.org, Let's Encrypt refuse d'émettre (c'est le but du CAA).

Rate limits Let's Encrypt

Let's Encrypt applique des limites publiques : 50 certificats par domaine enregistré par semaine, 5 duplicatas identiques par semaine, 300 nouveaux ordres par compte et par 3 heures. En dev/test, utilisez l'environnement de staging (option dans SSL It!) pour éviter de consommer vos quotas.

💡
Vérifier le certificat posé
SSL Labs analyse votre config TLS complète (chaîne, protocoles, chiffrements, HSTS) et donne une note. Un A sans effort sur une install Plesk récente est la norme.

Pour aller plus loin

Docs liés

Serveur & shell

.htaccess : les règles essentielles

Redirections 301, HTTPS forcé, blocage de fichiers, compression gzip, cache navigateur et debug du .htaccess Apache.

Besoin d'aide ?

Cette documentation ne couvre pas votre cas ? Notre support humain est là.

Ouvrir un ticket Nous contacter