Vidensbase

SSL og domænesikkerhed i HubSpot

Skrevet af HubSpot Support | Jun 28, 2023 1:26:18 PM

HubSpot opretter automatisk et standard SAN SSL-certifikat via Google Trust Services, når du tilslutter et domæne til din konto. Det tager normalt et par minutter, men kan tage op til fire timer.

Hvis du har købt den brugerdefinerede SSL-tilføjelse, kan du uploade brugerdefinerede SSL-certifikater til HubSpot. Du kan også konfigurere sikkerhedsindstillinger for hvert tilsluttet domæne, f.eks. TLS-version og sikkerhedsoverskrifter.

Bemærk: Hvis du støder på fejl under SSL-provisioneringsprocessen, kan du læse mere om fejlfinding af SSL-certifikatfejl.

SSL

Standard SAN SSL leveret gennem HubSpot er gratis og fornyes automatisk 30 dage før udløb. For at forny certifikatet:

  • Du skal være HubSpot-kunde.
  • Du skal have dit domæne-CNAME til at pege på den sikre server, der blev sat op i den indledende proces.
Hvis du foretrækker at bruge en anden udbyder eller certifikattype, kan du tilføje brugerdefinerede SSL-certifikater til din konto ved at købe den brugerdefinerede SSL-tilføjelse. Du kan ikke bruge et allerede eksisterende SSL-certifikat, da det kompromitterer certifikatets sikkerhed.
Bemærk venligst:
  • Google Trust Services er den certifikatmyndighed, der leverer et certifikat til dit domæne. Hvis dit domæne har en CAA-post (Certification Authority Authorization), skal du sikre dig, at pki.goog er angivet, så SSL kan oprettes eller fornyes.
  • Hvis du bruger et Let's Encrypt SSL-certifikat, anbefales det at fjerne din CAA-post og derefter tilføje en CAA-post for at understøtte Google Trust Services. Det vil sikre, at din hjemmeside fungerer som forventet på ældre Android-enheder.

Forbered dit SSL-certifikat på forhånd

Hvis du flytter dit eksisterende website til HubSpot, kan det være en god idé at forudbestille et SSL-certifikat, så der ikke er nogen SSL-nedetid. Du kan forudbestille et SSL-certifikat, mens du forbinder et domæne til HubSpot.

For at forudbestille et SSL-certifikat:

  • På siden DNS-opsætning i domæneforbindelsesprocessen vises et banner, hvis dit websted har et eksisterende SSL-certifikat. Klik på Klik her for at starte provisioneringsprocessen.



  • Følg instruktionerne i dialogboksen:
    • Log ind på din DNS-udbyderkonto, f.eks. GoDaddy eller Namecheap.
    • I din DNS-udbyder skal du navigere til skærmen med DNS-indstillinger , hvor du administrerer dine DNS-poster.
    • Opret nye DNS-poster i henhold til dialogboksen ved hjælp af værdierne Host (navn) og Value i dialogboksen.

Bemærk: Hvis du bruger Network Solutions, Namecheap eller GoDaddy, behøver du ikke at kopiere roddomænet. Din udbyder tilføjer automatisk et roddomæne i slutningen af DNS-posten.

  • Klik på Bekræft. Det kan tage op til fire timer, før dine ændringer er gennemført. Hvis du får en fejl, når du klikker på Verify, skal du vente et par minutter og derefter klikke på Verify for at tjekke igen.

Når dit certifikat er blevet pre-provisioned, vises et bekræftelsesbanner på skærmen for domæneforbindelse. Du kan derefter fortsætte med at forbinde dit domæne.

Opsætning af en DCV-post (Domain Control Validation)

Hvis du ser en fejl i dine domæneindstillinger om, at "Reverse proxy domains need your action to avoid website disruption", anbefales det at tilføje en DCV-post (Domain Control Validation) for at holde dit SSL-certifikat opdateret.

Du kan tilføje en DCV-post med disse trin:
  • Gå til Indhold > Domæner og URL'er i menuen i venstre sidepanel.
  • For hvert domæne med en Action required-label skal du klikke på rullemenuen Edit og vælge Show DNS records.

  • I et separat vindue skal du logge ind på din DNS-udbyder og få adgang til dine DNS-poster. For detaljerede instruktioner om redigering af dine DNS-poster for de mest almindelige DNS-udbydere, se DNS-opsætningsguiden.
  • I HubSpot skal du kopiere værdierne for DCV-posten i dialogboksen og derefter indsætte dem i en ny post på din DNS-udbyderkonto. Det kan tage op til 24 timer, før DNS-ændringerne er færdige med at blive opdateret.

Sikkerhedsindstillinger for domæne

Du kan tilpasse sikkerhedsindstillingerne for hvert subdomæne, der er forbundet med HubSpot. Sikkerhedsindstillingerne omfatter din hjemmesideprotokol (HTTP vs. HTTPS), TLS-version og din hjemmesides sikkerhedsoverskrifter.

For at opdatere et domænes sikkerhedsindstillinger:

  • Gå til Indhold > Domæner og URL'er i menuen i venstre side.
  • Ved siden af domænet skal du klikke på menuen Handlinger og vælge Opdater domænesikkerhedsindstillinger.


HTTPS-protokol

Du kan kræve, at alle sider på dit websted skal indlæses sikkert via HTTPS. Når denne indstilling er slået til, vil indhold, der er indlæst via HTTP, såsom billeder og stylesheets, ikke blive indlæst på dit websted. Indhold, der indlæses via HTTP på et HTTPS-site, kaldes blandet indhold. Lær, hvordan du løser fejl med blandet indhold på din side.

For at slå HTTPS-protokollen til skal dumarkere afkrydsningsfeltet Kræv HTTPS .

TLS-version

Som standard accepterer HubSpot-servere en forbindelse, der bruger TLS 1.0 og derover.

Hvis du vil ændre, hvilke TLS-versioner der understøttes, skal du klikke på rullemenuen TLS-version og vælge den laveste TLS-version , du vil understøtte. Forbindelser, der forsøger at bruge en TLS-version, der er lavere end det indstillede minimum, vil mislykkes.

Sikkerhedsoverskrifter

Du kan konfigurere din domænesikkerhed og slå sikkerhedsoverskrifter til for hvert domæne.

HTTP Strict Transport Security (HSTS)

Du kan tilføje et ekstra lag af sikkerhed til dit website ved at aktivere HTTP Strict Transport Security (HSTS). HSTS instruerer browsere om at konvertere alle HTTP-anmodninger til HTTPS-anmodninger i stedet. Aktivering af HSTS tilføjer HSTS-headeren til svar på anmodninger til URL'erne på underdomænet.

  • For at slå HSTS til skal du klikke på fanen Sikkerhedsoverskrifter og derefter markere afkrydsningsfeltet HTTP Strict Transport Security (HSTS).


  • For at indstille, hvor længe browsere skal huske at konvertere HTTP- til HTTPS-anmodninger, skal du klikke på rullemenuen Duration (max-age) og vælge en varighed.
  • For at inkludere preload-direktivet i domænets HSTS-header skal du markere afkrydsningsfeltet Enable pr eload. Få mere at vide om HSTS-forudindlæsning.
  • Hvis du vil inkludere HSTS-overskriften i alle underdomæner under det valgte underdomæne, skal du markere afkrydsningsfeltet Include subdomains. Hvis HSTS f.eks. er slået til for www.examplewebsite.com, og afkrydsningsfeltet Inkluder underdomæner er markeret, vil cool.www.examplewebsite.com også have HSTS slået til.

Få mere at vide om HSTS-overskriften.

Yderligere indstillinger for domænesikkerhed (kunContent Hub)

Hvis du har en Content Hub Starter-, Professional- eller Enterprise-konto , kan du slå de ekstra sikkerhedsindstillinger til nedenfor.

X-Frame-Options

Slå svarhovedet X-Frame-Options til for at angive, om en browser kan gengive en side i HTML-tags af typen <frame>, <iframe>, <embed> eller <object>.

Hvis du vil slå X-Frame-Options til, skal du markere afkrydsningsfeltet X-Frame-Options og derefter vælge et direktiv i rullemenuen:

  • For at forhindre sider på dit domæne i at blive indlæst på en side i ovenstående tags skal du vælge deny.
  • Vælg sameorigin for at tillade, at sider på dit domæne kun indlæses i ovenstående tags på tværs af dit domæne.



Få mere at vide om X-Frame-Options-overskriften.

X-XSS-beskyttelse

Slå headeren X-XSS-Protection til for at tilføje et lag af sikkerhed for brugere af ældre webbrowsere ved at forhindre sider i at blive indlæst, når der registreres cross-site scripting.

For at slå denne header til skal du markere afkrydsningsfeltet X-XSS-Protection og derefter vælge en XSS-indstilling i rullemenuen:

  • Vælg 0 for at deaktivere XSS-filtrering.
  • Vælg 1 for at fjerne de usikre dele af en side, når der opdages et cross-site scripting-angreb.
  • Vælg 1; mode=block for at forhindre gengivelse af en side, hvis der opdages et angreb.



Læs mere om headeren X-XSS-Protection.

X-Content-Type-Options

Slå X-Content-Type-Options-overskriften til for at fravælge MIME-type-sniffing. Hvis du aktiverer denne indstilling, får browseren besked på at følge de MIME-typer, der er angivet i Content-Type-overskrifterne.

Læs mere om X-Content-Type-Options-overskriften.

Politik for indholdssikkerhed

Slå Content-Security-Policy-headeren til for at kontrollere de ressourcer, som brugeragenten kan indlæse på en side. Denne header hjælper med at forhindre cross-site scripting-angreb.

For at slå Content-Security-Policy-headeren til skal du markere afkrydsningsfeltet Content-Security-Policy og derefter angive dinepolicydirektiver. Du kan se en liste over tilgængelige direktiver i Mozillas guide til Content-Security-Policy-headeren.

For at bruge Content-Security-Policy-headeren med webversionerne af marketingmails skal du tilføje nøgleordet 'unsafe-inline', som beskrevet her. Ellers vil styling fra e-mailen blive blokeret.

Vælg Aktiver nonce for at tillade, at <script>-elementer kun udføres, hvis de indeholder en nonce-attribut, der matcher den tilfældigt genererede header-værdi.

Bemærk: HubSpot genererer automatisk en tilfældig værdi ved hver anmodning for alle scripts fra HubSpot og alle scripts, der hostes på HubSpot.

Følgende domæner og direktiver bør inkluderes for at sikre fuld funktionalitet på HubSpot-hostede sider:

Domæne* Direktiv(er) Værktøj
*.hsadspixel.net script-src Annoncer
*.hs-analytics.net script-src Analyse
*.hubapi.com connect-src API-kald (HubDB, indsendelse af formularer)
js.hscta.net script-src, img-src, connect-src Opfordring til handling (knap)
js-eu1.hscta.net (kun europæisk datahosting) script-src, img-src, connect-src Opfordring til handling (knap)
no-cache.hubspot.com img-src Opfordring til handling (knap)
*.hubspot.com script-src, img-src, connect-src, frame-src Opfordring til handling (pop-up), chatflows
*.hs-sites.com frame-src Opfordring til handling (pop-up)
*.hs-sites-eu1.com (kun europæisk datahosting) frame-src Opfordring til handling (pop-up)
static.hsappstatic.net script-src Indhold (sprocket-menu, videoindlejring)
*.usemessages.com script-src Samtaler, chatflows
*.hs-banner.com script-src, connect-src Cookie-banner
*.hubspotusercontent##.net (## kan være 00, 10, 20, 30 eller 40) script-src, img-src, style-src Filer
*.hubspot.net script-src, img-src, frame-src Filer
play.hubspotvideo.com frame-src Filer (videoer)
play-eu1.hubspotvideo.com (kun europæisk datahosting) frame-src Filer (videoer)
cdn2.hubspot.net img-src, style-src Filer, stilark
Dit domæne er forbundet med HubSpot frame-src, style-src, script-src Filer, stilark
*.hscollectedforms.net script-src, connect-src Formularer (ikke-HubSpot-formularer)
*.hsleadflows.net script-src Formularer (pop-up-formularer)
*.hsforms.net script-src, img-src, frame-src Formularer, undersøgelser
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Formularer, undersøgelser
*.hs-scripts.com script-src HubSpot-sporingskode
*.hubspotfeedback.com script-src Undersøgelser
feedback.hubapi.com script-src Undersøgelser
feedback-eu1.hubapi.com (kun europæisk datahosting) script-src Undersøgelser

Content-Security-Policy-Report-Only

Slå headeren Content-Security-Policy-Report-Only til for at overvåge politikdirektiver. Politiske direktiver vil ikke blive håndhævet, men virkningerne vil blive overvåget, hvilket kan være nyttigt, når man eksperimenterer med politikker.

For at slå denne header til skal du markere afkrydsningsfeltet Content-Security-Policy-Report-Only og derefter indtaste dine politikdirektiver.

For kun at tillade <script>-elementer at blive udført, hvis de indeholder en nonce-attribut, der matcher den tilfældigt genererede header-værdi, skal du vælge Turn on nonce.

Få mere at vide om Content-Security-Policy-Report-Only-headeren.

Henvisningspolitik

Slå Referrer-Policy-headeren til for at kontrollere, hvor mange henvisningsoplysninger der skal medtages i anmodninger.

For at slå denne overskrift til skal du markere afkrydsningsfeltet Referrer-Policy og derefter vælge et direktiv i rullemenuen.

For en definition af de tilgængelige direktiver, se Mozillas Referrer-Policy-guide.

Politik for tilladelser

Slå overskriften Permissions-Policy til for at kontrollere brugen af browserfunktioner på siden, herunder indhold af <iframe>-elementer.

For at slå denne overskrift til skal du markere afkrydsningsfeltet Permissions-Policy og derefter indtaste dine direktiver. For en liste over direktiver, se Mozillas Permissions-Policy-guide.
Se hele indlægget