HubSpot sørger automatisk for et standard SAN SSL-certifikat gennem Google Trust Services, når du forbinder et domæne til din konto. Det tager normalt et par minutter, men kan tage op til fire timer.
Hvis du har købt den tilpassede SSL-tilføjelse, kan du uploade tilpassede SSL-certifikater til HubSpot. Du kan også konfigurere sikkerhedsindstillinger for hvert tilsluttet domæne, såsom TLS-version og sikkerhedsoverskrifter.
Bemærk: Hvis du støder på fejl under SSL-provisioneringsprocessen, kan du læse mere om fejlfinding af SSL-certifikatfejl.
Hvis du flytter dit eksisterende site til HubSpot, kan det være en god idé at forudbestille et SSL-certifikat, så der ikke er nogen SSL-nedetid. Du kan forudbestille et SSL-certifikat, mens du forbinder et domæne til HubSpot.
Forudindstilling af et SSL-certifikat:
Bemærk: Hvis du bruger Network Solutions, Namecheap eller GoDaddy, behøver du ikke at kopiere roddomænet. Din udbyder vil automatisk tilføje et roddomæne til slutningen af DNS-posten.
Når dit certifikat er blevet forudindstillet, vises der et bekræftelsesbanner på domæneforbindelsesskærmen. Du kan derefter fortsætte med at forbinde dit domæne.
Hvis du ser en fejl i dine domæneindstillinger, hvor der står "Reverse proxy domains need your action to avoid website disruption", anbefales det at tilføje en DCV-post (Domain Control Validation) for at holde dit SSL-certifikat opdateret.
Du kan tilpasse sikkerhedsindstillingerne for hvert subdomæne, der er forbundet til HubSpot. Sikkerhedsindstillingerne omfatter din hjemmesideprotokol (HTTP vs. HTTPS), TLS-version og din hjemmesides sikkerhedsoverskrifter.
Sådan opdaterer du et domænes sikkerhedsindstillinger:
Du kan kræve, at alle sider på din hjemmeside indlæses sikkert via HTTPS. Når denne indstilling er slået til, vil indhold, der indlæses via HTTP, såsom billeder og stylesheets, ikke blive indlæst på din hjemmeside. Indhold, der indlæses via HTTP på et HTTPS-site, kaldes blandet indhold. Lær, hvordan du løser fejl med blandet indhold på din side.
Hvis du vil slå HTTPS-protokollen til, skal du markereafkrydsningsfeltet Kræv HTTPS .
Som standard accepterer HubSpot-servere en forbindelse, der bruger TLS 1.0 og derover.
For at ændre, hvilke TLS-versioner der understøttes, skal du klikke på rullemenuen TLS-version og vælge den laveste TLS-version , du ønsker at understøtte. Forbindelser, der forsøger at bruge en TLS-version, der er lavere end det indstillede minimum, vil fejle.
Du kan konfigurere dit domænes sikkerhed og slå sikkerhedsoverskrifter til for hvert domæne.
Du kan tilføje et ekstra lag af sikkerhed til din hjemmeside ved at aktivere HTTP Strict Transport Security (HSTS). HSTS instruerer browsere i at konvertere alle HTTP-anmodninger til HTTPS-anmodninger i stedet. Hvis du aktiverer HSTS, tilføjes HSTS-headeren til svar på forespørgsler til URL'erne på subdomænet.
Få mere at vide om HSTS-headeren.
Hvis du har en Content Hub Starter-, Professional- eller Enterprise-konto , kan du slå de ekstra sikkerhedsindstillinger til nedenfor.
Slå X-Frame-Options-svarhovedet til for at angive, om en browser kan gengive en side i <frame>, <iframe>, <embed> eller <object> HTML-tags.
Du slår X-Frame-Options til ved at markere afkrydsningsfeltet X-Frame-Options og derefter vælge et direktiv i dropdown-menuen:
Læs mere om headeren X-Frame-Options.
Slå X-XSS-Protection-headeren til for at tilføje et lag af sikkerhed for brugere af ældre webbrowsere ved at forhindre sider i at blive indlæst, når cross-site scripting opdages.
For at slå denne header til skal du markere afkrydsningsfeltet X-XSS-Protection og derefter vælge en XSS-indstilling fra rullemenuen:
Få mere at vide om X-XSS-Protection-headeren.
Slå X-Content-Type-Options-headeren til for at fravælge sider, der sniffer MIME-typer. Ved at aktivere denne indstilling får browseren besked på at følge de MIME-typer, der annonceres i Content-Type-headerne.
Læs mere om headeren X-Content-Type-Options.
Slå Content-Security-Policy-headeren til for at kontrollere ressourcer, som brugeragenten kan indlæse på en side. Denne header hjælper med at forhindre cross-site scripting-angreb.
For at slå Content-Security-Policy-headeren til skal du markere afkrydsningsfeltet Content-Security-Policy og derefter angive dinePolicy-direktiver. For en liste over tilgængelige direktiver, se Mozillas Content-Security-Policy header guide.
Hvis du vil tillade, at <script>-elementer kun eksekveres, hvis de indeholder en nonce-attribut, der matcher den tilfældigt genererede headerværdi, skal du vælge Aktiver nonce.
Bemærk: HubSpot genererer automatisk en tilfældig værdi ved hver anmodning for alle scripts fra HubSpot og alle scripts hostet på HubSpot.
Følgende domæner og direktiver bør inkluderes for at sikre fuld funktionalitet på HubSpot-hostede sider:
Domæne* | Direktiv(er) | Værktøj |
*.hsadspixel.net | script-src | Annoncer |
*.hs-analytics.net | script-src | Analyse |
*.hubapi.com | connect-src | API-kald (HubDB, indsendelse af formularer) |
js.hscta.net | script-src, img-src, connect-src | Opfordringer til handling (knap) |
js-eu1.hscta.net (kun europæisk datahosting) | script-src, img-src, connect-src | Opfordringer til handling (knap) |
no-cache.hubspot.com | img-src | Opfordringer til handling (knap) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Opfordringer til handling (pop-up), chatflows |
*.hs-sites.com | frame-src | Opfordringer til handling (pop-up) |
*.hs-sites-eu1.com (kun europæisk datahosting) | frame-src | Opfordringer til handling (pop-up) |
static.hsappstatic.net | script-src | Indhold (sprocket menu, indlejring af video) |
*.usemessages.com | script-src | Samtaler, chatflows |
*.hs-banner.com | script-src, connect-src | Cookie-banner |
*.hubspotusercontent##.net (## kan være 00, 10, 20, 30 eller 40) | script-src, img-src, style-src | Filer |
*.hubspot.net | script-src, img-src, frame-src | Filer |
play.hubspotvideo.com | frame-src | Filer (videoer) |
play-eu1.hubspotvideo.com (kun europæisk datahosting) | frame-src | Filer (videoer) |
cdn2.hubspot.net | img-src, style-src | Filer, stilark |
Dit domæne er forbundet til HubSpot | frame-src, style-src, script-src | Filer, stilark |
*.hscollectedforms.net | script-src, connect-src | Formularer (ikke-HubSpot-formularer) |
*.hsleadflows.net | script-src | Formularer (pop-up formularer) |
*.hsforms.net | script-src, img-src, frame-src | Formularer, undersøgelser |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formularer, undersøgelser |
*.hs-scripts.com | script-src | HubSpot-sporingskode |
*.hubspotfeedback.com | script-src | Undersøgelser |
feedback.hubapi.com | script-src | Undersøgelser |
feedback-eu1.hubapi.com (kun europæisk datahosting) | script-src | Undersøgelser |
Slå Content-Security-Policy-Report-Only-headeren til for at overvåge politikdirektiver. Politikdirektiver vil ikke blive håndhævet, men effekterne vil blive overvåget, hvilket kan være nyttigt, når man eksperimenterer med politikker.
For at slå denne header til skal du markere afkrydsningsfeltet Content-Security-Policy-Report-Only og derefter indtaste dine politikdirektiver.
Hvis du vil tillade, at <script>-elementer kun eksekveres, hvis de indeholder en nonce-attribut, der matcher den tilfældigt genererede header-værdi, skal du vælge Slå nonce til.
Læs mere om headeren Content-Security-Policy-Report-Only.
Slå Referrer-Policy-headeren til for at kontrollere, hvor mange henvisningsoplysninger der skal inkluderes i anmodninger.
For at aktivere denne overskrift skal du markere afkrydsningsfeltet Referrer-Policy og derefter vælge et direktiv fra dropdown-menuen.
Slå Permissions-Policy-headeren til for at kontrollere brugen af browserfunktioner på siden, herunder <iframe>-elementindhold.
For at slå denne header til skal du markere afkrydsningsfeltet Permissions-Policy og derefter indtaste dine direktiver. For en liste over direktiver, se Mozillas Permissions-Policy-guide.