SSL nu mai e opțional. Browser-ele moderne marchează site-urile fără HTTPS ca "Not secure", Google reduce ranking-ul SEO, iar utilizatorii dau click înapoi în 2 secunde. Vestea bună: AutoSSL Let's Encrypt e activ automat pe toate conturile FutureHost, fără să faci nimic.
Cum funcționează AutoSSL
cPanel scanează zilnic toate domeniile și sub-domeniile din contul tău. Pentru fiecare:
- Verifică dacă există certificat valid (Let's Encrypt sau premium)
- Dacă lipsește sau expiră în următoarele 7 zile, cere unul nou de la Let's Encrypt
- Let's Encrypt validează că tu controlezi domeniul (HTTP challenge pe
/.well-known/acme-challenge/) - Generează certificat valid 90 zile
- cPanel instalează automat și activează HTTPS
Tot acest proces durează 5-15 minute prima dată, apoi reînnoiri automate la 60-75 zile (înainte de expirare).
Verifică statusul SSL
- cPanel → Security → SSL/TLS Status
- Vezi tabel cu toate domeniile și sub-domeniile
- Status posibile:
- Valid (verde) — totul OK, certificat activ
- AutoSSL Domain Validated — validare OK, certificat în curs de emitere
- Validation Pending — așteaptă propagare DNS (max 4 ore)
- Failed (roșu) — vezi detaliile
- No certificate — nu există certificat (sub-domeniu nou)
Print-screen va fi adăugat în următoarea actualizare
Forțează regenerare certificat
Dacă vezi status "Failed" sau vrei să accelerezi emiterea pentru un domeniu nou:
- SSL/TLS Status → bifează domeniile dorite (sau bifă pe header pentru toate)
- Click "Run AutoSSL" sus
- Așteaptă 5-15 minute
- Refresh — status ar trebui să devină Valid
Forțează HTTPS pentru toate request-urile
Doar a avea SSL nu e suficient — trebuie să FORȚEZI HTTPS, altfel utilizatorii care vizitează HTTP rămân pe HTTP nesigur.
Metoda 1 — Toggle cPanel
- cPanel → Domains → Domains
- Pentru fiecare domeniu, click toggle "Force HTTPS Redirect" → ON
Metoda 2 — .htaccess manual (control complet)
În rădăcina site-ului (public_html/.htaccess), adaugă la început:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Plus pentru forțarea de la non-www la www (sau invers):
# Force www
RewriteCond %{HTTP_HOST} ^domeniul-tau\.ro$ [NC]
RewriteRule ^ https://www.domeniul-tau.ro%{REQUEST_URI} [L,R=301]
Troubleshooting AutoSSL eșuat
"DNS records do not point to this server"
Cea mai comună cauză. Verifică:
- Nameserverele domeniului sunt setate la
ns1.futurehost.ro+ns2.futurehost.ro(sau folosești DNS extern care pointează corect record-urile A spre IP-ul tău) - Record-ul A pentru domeniu și www pointează spre IP-ul corect (vezi în email-ul de bun venit)
- DNS-ul a propagat (verifică cu whatsmydns.net)
"CAA record forbids issuance"
Domeniul are un CAA record care exclude Let's Encrypt. Verifică în cPanel → Zone Editor — dacă există record CAA, șterge-l sau adaugă 0 issue "letsencrypt.org".
"The domain failed DCV"
Domain Control Validation a eșuat — Let's Encrypt nu a putut accesa /.well-known/acme-challenge/. Cauze:
.htaccessblochează accesul la.well-known/— verifică în root- Redirect HTTP→HTTPS lovește înainte ca challenge-ul să fie servit. Soluție: exceptează în .htaccess:
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/ [NC] RewriteRule ^ - [L] # ... apoi celelalte redirect-uri - Firewall (Cloudflare etc.) blochează request-urile de validare
"Too many requests" Let's Encrypt
Let's Encrypt are rate limit: 50 certificate / săptămână / domeniu rădăcină. Dacă forțezi regenerări multiple, ești blocat 1 săptămână. Așteaptă sau folosește staging environment pentru teste.
Certificate premium (Sectigo OV / EV)
Let's Encrypt e suficient pentru 99% din site-uri. Premium certificate îți trebuie doar dacă:
- E-commerce mare unde vrei sigla "Sectigo Secured" în pagină pentru încredere vizuală
- Compliance corporate strict (PCI DSS unele variante)
- Wildcard certificate pe multe sub-domenii dinamice (Let's Encrypt suportă wildcard, dar necesită DNS challenge)
- Browseri foarte vechi care nu trust cross-sign Let's Encrypt (sub 0.01% din trafic)
Oferim Sectigo SSL DV: 89 RON/an, OV: 249 RON/an, EV: 459 RON/an. Cere ofertă.
HSTS — Strict Transport Security
HSTS instruiește browser-ul să acceseze SITE-UL TĂU EXCLUSIV prin HTTPS, niciodată HTTP, chiar dacă utilizatorul tastează http://. Protejează împotriva downgrade attacks și SSL stripping.
HSTS e ireversibil pentru perioada specificată. Dacă activezi HSTS cu max-age=31536000 (1 an) și apoi vrei să revii la HTTP, browser-ele utilizatorilor tăi vor refuza să-ți acceseze site-ul pe HTTP timp de 1 an. Activează DOAR după ce ești 100% sigur că HTTPS funcționează stabil.
Activare HSTS pas-cu-pas
În .htaccess:
# Fază 1 — 1 lună, fără subdomain (test inițial)
Header always set Strict-Transport-Security "max-age=2592000"
# Fază 2 — după 1 lună fără probleme, urcă la 6 luni cu subdomain
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
# Fază 3 — după încă 6 luni stabile, urcă la 1 an + preload
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
HSTS preload list (cea mai puternică protecție)
După faza 3, submitează domeniul tău la lista preload Chrome / Firefox / Safari. Browser-ele cu lista preload vor accesa domeniul tău EXCLUSIV pe HTTPS din prima conexiune, fără să mai aștepte primul răspuns.
- Verifică prerequisite la hstspreload.org
- Submit domain
- Procesarea durează 6-12 săptămâni
- După acceptare, domeniul tău e în Chrome/Firefox/Safari for ever (greu reversibil)
Verificare finală SSL
Testează configurația ta cu:
- SSL Labs Server Test — scor A+ posibil. Detectează configurări slabe, cifruri vulnerabile.
- securityheaders.com — verifică HSTS și alte headers de securitate
- Hardenize — audit complet TLS + DNS + email
Obiectiv: scor A+ pe SSL Labs.
Mai ai nevoie de ajutor cu acest subiect?
Echipa noastră răspunde direct, în limba română, L–V 9–18. Pentru urgențe (site down, hack) avem canal WhatsApp.