Hinweis: Dieser Artikel wird aus Kulanz zur Verfügung gestellt. Er wurde automatisch mit einer Software übersetzt und unter Umständen nicht korrekturgelesen. Die englischsprachige Fassung gilt als offizielle Version und Sie können dort die aktuellsten Informationen finden. Hier können Sie darauf zugreifen.
Domains & URLs

SSL und Domain-Sicherheit in HubSpot

Zuletzt aktualisiert am: November 5, 2020

Produkte/Lizenzen

Marketing Hub  Starter, Professional, Enterprise
CMS Hub  Professional, Enterprise
Ehemaliges Marketing Hub Basic

Wenn Sie eine Domain mit Ihrem Account verknüpfen, stellt HubSpot automatisch ein SAN-SSL-Standardzertifikat über DigiCert bereit. Dies dauert in der Regel einige Minuten, kann aber auch bis zu vier Stunden dauern. Wenn Sie das Add-on für benutzerdefiniertes SSL erworben haben, können Sie benutzerdefinierte SSL-Zertifikate in HubSpot hochladen.

Für jede verknüpfte Domain können Sie außerdem Sicherheitseinstellungen konfigurieren, z. B. TLS-Version und Sicherheits-Header.

Bitte beachten: Wenn während des SSL-Bereitstellungsprozesses Fehler auftreten, lesen Sie bitte die Anleitung zur Behebung von Fehlern bei SSL-Zertifikaten von HubSpot.

SSL

Standard-SAN-SSL in HubSpot ist kostenlos und das Zertifikat wird automatisch 30 Tage vor dem Ablaufdatum verlängert. Um das Zertifikat zu verlängern, müssen beide Bedingungen erfüllt sein:

  • Sie sind noch ein HubSpot-Kunde.
  • Sie haben noch Ihre Domain-CNAME auf dem gesicherten Server, der am Anfang eingerichtet wurde.
Wenn Sie lieber einen anderen Provisioner oder ein anderes Zertifikat verwenden möchten, können Sie Ihrem Account benutzerdefinierte SSL-Zertifikate hinzufügen, indem Sie das benutzerdefinierte SSL Add-on erwerben. Sie können nicht ein bereits vorhandenes SSL-Zertifikat verwenden, da dies die Sicherheit des Zertifikats beeinträchtigen würde.

Bitte beachten: DigiCert ist die Zertifizierungsstelle, die ein Zertifikat für Ihre Domain bereitstellt. Wenn Ihre Domain über einen CAA-Eintrag (Certification Authority Authorization) verfügt, stellen Sie sicher, dass digicert.com aufgeführt ist, damit SSL bereitgestellt oder erneuert werden kann.

Bereitstellen Ihres SSL-Zertifikats

Wenn Sie Ihre vorhandene Website zu HubSpot verschieben, sollten Sie ein SSL-Zertifikat vorab bereitstellen, damit es keine SSL-Ausfallzeiten gibt. Sie können ein SSL-Zertifikat vorab bereitstellen, während Sie eine Domain mit HubSpot verknüpfen.

So stellen Sie ein SSL-Zertifikat vorab bereit:

  • Im Rahmen der Verknüpfung der Domain wird auf der Seite für das DNS-Setup ein Banner angezeigt, wenn Ihre Website über ein vorhandenes SSL-Zertifikat verfügt. Klicken Sie auf „Hier klicken“, um den Bereitstellungsprozess zu starten. 

    pre-provision-ssl-certificate
  • Folgen Sie den Anweisungen im Dialogfeld:
    • Melden Sie sich bei Ihrem DNS-Anbieter wie GoDaddy oder Namecheap an.
    • Gehen Sie bei Ihrem DNS-Anbieter zum Bildschirm mit den DNS-Einstellungen. Hier können Sie Ihre DNS-Einträge verwalten.
    • Erstellen Sie neue DNS-Einträge gemäß dem Dialogfeld mithilfe der dort bereitgestellten Werte für  „Host (Name)“ und „Wert“.

Bitte beachten: Wenn Sie Network Solutions, Namecheap oder GoDaddy verwenden, müssen Sie nur alles bis einschließlich der Subdomain kopieren. Ihr Anbieter fügt Ihre Brand Domain und Top-Level-Domain automatisch am Ende des DNS-Eintrags hinzu.

  • Klicken Sie auf Verifizieren. Es kann bis zu vier Stunden dauern, bis Ihre Änderungen verarbeitet werden. Wenn Sie einen Fehler erhalten, wenn Sie auf „Verifizieren“ klicken, warten Sie ein paar Minuten und klicken Sie dann zum Überprüfen erneut auf „Verifizieren“.

Sobald Ihr Zertifikat vorab bereitgestellt wurde, wird im Bildschirm für das Verknüpfen der Domain ein Bestätigungsbanner angezeigt. Sie können dann weiter Ihre Domain verknüpfen.

ssl-pre-provision-success

Domain-Sicherheitseinstellungen

Sie können die Sicherheitseinstellungen für jede mit HubSpot verknüpfte Subdomain anpassen. Sicherheitseinstellungen umfassen Ihr Website-Protokoll (HTTP vs. HTTPS), die TLS-Version und Ihre Website-Sicherheits-Header.

So aktualisieren Sie die Sicherheitseinstellungen Ihrer Domain:

  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das Zahnradsymbol settings, um die Einstellungen aufzurufen.
  • Navigieren Sie im linken Seitenmenü zu „CMS“ > „Domains & URLs“.
  • Klicken Sie neben der Domain auf „Bearbeiten“ und wählen Sie dann „Domain-Sicherheitseinstellungen aktualisieren“ aus.
update-domain-security-settings

HTTPS-Protokoll

Standardmäßig aktiviert HubSpot das HTTPS-Protokoll, sobald SSL bereitgestellt wurde. Dadurch werden Ihre Website-Besucher automatisch auf die sichere https-Version Ihrer Website und nicht auf die unsichere http-Version geleitet.

Wenn diese Option aktiviert ist, werden über HTTP geladene Inhalte, z. B. Bilder und Stylesheets auf Ihrer Website nicht geladen. Über HTTP auf einer HTTPS-Website geladene Inhalte werden als gemischte Inhalte bezeichnet. Erfahren Sie, wie Sie Fehler mit gemischten Inhalten auf Ihrer Seite beheben.

Um das HTTPS-Protokoll zu deaktivieren, deaktivieren Sie das Kontrollkästchen „HTTPS verlangen“.


require-https


TLS-Version

HubSpot-Server akzeptieren standardmäßig eine Verbindung mit TLS 1.0 und höher.

Um zu ändern, welche TLS-Versionen unterstützt werden, klicken Sie auf das Dropdown-Menü „TLS-Version“ und wählen Sie die niedrigste TLS-Version aus, die Sie unterstützen möchten. Verbindungen, die versuchen, eine TLS-Version unter der festgelegten Mindestversion zu verwenden, verursachen einen Fehler.

TLS-version

Sicherheits-Header

Konfigurieren Sie Ihre Domain-Sicherheit, indem Sie Einstellungen für Sicherheits-Header pro Domain aktivieren.

HTTP Strict Transport Security (HSTS)

Sie können Ihrer Website eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie HTTP Strict Transport Security (HSTS) aktivieren. HSTS lässt Browser alle HTTP-Anfragen stattdessen in HTTPS-Anfragen konvertieren. Durch Aktivieren von HSTS wird Antworten auf Anfragen an URLs in der Subdomain der HSTS-Header hinzugefügt.

  • Klicken Sie zum Aktivieren von HSTS auf die Registerkarte „Sicherheits-Header“ und wählen Sie dann das Kontrollkästchen „HTTP Strict Transport Security (HSTS)“ aus.


security-HSTS-setting

  • Um festzulegen, wie lange Browser HTTP-Anfragen in HTTPS-Anfragen konvertieren soll, klicken Sie auf das Dropdown-Menü „Dauer (max.)“ und wählen Sie eine Dauer aus.
  • Um die Preload-Direktive im HSTS-Header der Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen „Preload aktivieren“. Erfahren Sie mehr über HSTS-Preloading.
  • Um den HSTS-Header in allen Subdomains unter der ausgewählten Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen „Subdomains einschließen“ aus. Wenn beispielsweise HSTS für www.examplewebsite.com aktiviert ist und das Kontrollkästchen „Subdomains einschließen“  aktiviert ist, wird HSTS für cool.www.examplewebsite.com ebenfalls aktiviert.

Erfahren Sie mehr über den HSTS-Header.

Zusätzliche Domain-Sicherheitseinstellungen (nur CMS Hub Enterprise)

Wenn Sie über einen CMS HubEnterprise-Account verfügen, können Sie die folgenden zusätzlichen Sicherheitseinstellungen aktivieren.

X-Frame-Options

Aktivieren Sie den X-Frame-Options-Antwort-Header, um anzugeben, ob ein Browser eine Seite in <frame>-, <iframe>-, <embed>- oder <object>-HTML-Tags darstellen kann oder nicht

Um X-Frame-Options zu aktivieren, aktivieren Sie das Kontrollkästchen „X-Frame-Options“ und wählen Sie dann im Dropdown-Menü eine Direktive aus:

  • Um zu verhindern, dass Seiten auf Ihrer Domain auf einer beliebigen Seite in den oben genannten Tags geladen werden, wählen Sie „deny“ aus.
  • Um zuzulassen, dass Seiten auf Ihrer Domain nur in den oben genannten Tags geladen werden dürfen, wählen Sie „sameorigin“ aus.

    x-frame-options-setting

Erfahren Sie mehr über den X-Frame-Options-Header.

X-XSS-Protection

Aktivieren Sie den X-XSS-Protection-Header, um eine Sicherheitsstufe für Benutzer älterer Webbrowser hinzuzufügen, indem verhindert wird, dass Seiten geladen werden, wenn Cross-Site-Scripting erkannt wird.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „X-XSS-Protection“ und wählen Sie dann eine XSS-Einstellung im Dropdown-Menü aus:

  •  Um XSS-Filterung zu deaktivieren, wählen Sie „0“ aus.
  • Um die unsicheren Teile einer Seite zu entfernen, wenn ein Cross-Site-Scripting-Angriff erkannt wird, wählen Sie „1“ aus.
  • Um die Darstellung einer Seite zu verhindern, wenn ein Angriff erkannt wird, wählen Sie „1; mode=block“ aus.

    x-xss-protection-header

Erfahren Sie mehr über den X-XSS-Protection-Header.

X-Content-Type-Options

Aktivieren Sie den X-Content-Type-Options-Header, um Seiten von MIME-Typ-Sniffing abzumelden. Durch Aktivieren dieser Einstellung weisen Sie den Browser an, den in den Content-Type-Headern angekündigten MIME-Typen zu folgen. 

X-Content-Type-Options

Erfahren Sie mehr über den X-Content-Type-Options-Header.

Content-Security-Policy

Aktivieren Sie den Content-Security-Policy-Header, um Ressourcen zu steuern, die der Benutzer-Agent auf einer Seite laden kann. Mit diesem Header können Sie Cross-Site-Scripting-Angriffe verhindern.

Um den Content-Security-Policy-Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Content-Security-Policy“ und geben Sie dann Ihr Richtliniendirektiven an. Eine Liste der verfügbaren Direktiven finden Sie im Content-Security-Policy-Header-Leitfaden von Mozilla.

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie „Nonce aktivieren“ aus. 


content-security-policy-header

Content-Security-Policy-Report-Only

Aktivieren Sie den Content-Security-Policy-Report-Only-Header, um Richtliniendirektiven zu überwachen. Richtliniendirektiven werden nicht durchgesetzt, aber die Auswirkungen werden überwacht. Dies kann beim Experimentieren mit Richtlinien nützlich sein.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Content-Security-Policy-Report-Only“ und geben Sie dann Ihre Richtliniendirektiven ein. 

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie „Nonce aktivieren“ aus. 

content-security-policy-report-only-header

Erfahren Sie mehr über den Content-Security-Policy-Report-Only-Header.

Referrer-Policy

Aktivieren Sie den Referrer-Policy-Header, um zu steuern, wie viele Referrer-Informationen bei Anfragen enthalten sein sollen.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Referrer-Policy“ und wählen Sie dann im Dropdown-Menü eine Direktive aus.

referrer-policy-headerEine Definition der verfügbaren Direktiven finden Sie im Referrer-Policy-Leitfaden von Mozilla.

Feature-Policy

Aktivieren Sie den Feature-Policy-Header, um die Verwendung von Browser-Funktionen auf der Seite zu steuern, einschließlich des <iframe>-Elementinhalts.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Feature-Policy“ und geben Sie dann Ihre Direktiven ein. Eine Liste von Direktiven finden Sie im Feature-Policy-Leitfaden von Mozilla.

feature-policy-header