Hinweis: Dieser Artikel wird aus Kulanz zur Verfügung gestellt. Er wurde automatisch mit einer Software übersetzt und unter Umständen nicht korrekturgelesen. Die englischsprachige Fassung gilt als offizielle Version und Sie können dort die aktuellsten Informationen finden. Hier können Sie darauf zugreifen.
Domains & URLs

SSL und Domain-Sicherheit in HubSpot

Zuletzt aktualisiert am: August 19, 2020

Produkte/Lizenzen

Marketing Hub  Starter, Professional, Enterprise
CMS Hub  Professional, Enterprise
Ehemaliges Marketing Hub Basic

Wenn Sie eine Domain mit HubSpot verknüpfen, wird SSL automatisch für diese Domain bereitgestellt. Dies dauert in der Regel einige Minuten, kann aber auch bis zu vier Stunden dauern.

Bitte beachten: Wenn während des SSL-Bereitstellungsprozesses Fehler auftreten, lesen Sie bitte unsere Anleitung zur Behebung von Fehlern bei SSL-Zertifikaten.

SSL

Standard-SSL in HubSpot ist kostenlos und das Zertifikat wird automatisch 30 Tage vor dem Ablaufdatum verlängert. Um das Zertifikat zu verlängern, müssen beide Bedingungen erfüllt sein:

  • Sie sind noch ein HubSpot-Kunde.
  • Sie haben noch Ihre Domain-CNAME auf dem gesicherten Server, der am Anfang eingerichtet wurde.
Sie können statt dem Standard-SAN-Zertifikat auch dedizierte SSL- oder benutzerdefinierte Drittanbieter-Zertifikate über HubSpot kaufen. Um dies einzurichten, kontaktieren Sie Ihren Customer Success Manager. Sie können nicht ein bereits vorhandenes SSL-Zertifikat verwenden, da dies die Sicherheit des Zertifikats beeinträchtigen würde. HubSpot muss die Certificate Signing Request (CSR) generieren, damit sie mit HubSpot verwendet werden kann.
 
Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, wird ein Mitglied des HubSpot-Teams 14 bis 30 Tage im Voraus informiert, um die Verlängerung und die erforderlichen technischen Schritte zu besprechen.

Bitte beachten: DigiCert ist die Zertifizierungsstelle, die ein Zertifikat für Ihre Domain bereitstellt. Wenn Ihre Domain über einen CAA-Eintrag (Certification Authority Authorization) verfügt, stellen Sie sicher, dass digicert.com aufgeführt ist, damit SSL bereitgestellt oder erneuert werden kann.

Bereitstellen Ihres SSL-Zertifikats

Das Überprüfen Ihrer Domain ermöglicht HubSpot die Bereitstellung von SSL vor dem Verknüpfen der Domain. Das bedeutet, dass es keine SSL-Ausfallzeiten gibt, wenn Sie DNS-Änderungen vornehmen, um Ihre Domain auf HubSpot zu verweisen. So überprüfen Sie die Inhaberschaft eine Domain während der Domain-Verknüpfung:

  • Klicken Sie in Schritt 1 der Phase „URLs verifizieren“ auf „Klicken Sie hier“.

click-link-to-confirm-you-own-this-domain

  • Klicken Sie im Dialogfeld auf „Verifizierungs-E-Mail senden“. Dies löst eine E-Mail an die bei who.is für die Domäne registrierte E-Mail-Adresse aus.

send-verification-email

  • Klicken Sie auf den Link in der E-Mail.

Wenn Sie keine Überprüfungs-E-Mail erhalten:

  • Suchen Sie im Spam-Ordner nach einer E-Mail von <support@certvalidate.cloudflare.com>.
  • Überprüfen Sie die E-Mail-Adresse, die für Ihre Domain registriert ist. Stellen Sie sicher, dass Sie das E-Mail-Konto der richtigen E-Mail überprüfen.
  • Fügen Sie Ihre E-Mail-Adresse zu who.is hinzu.

Wenn Sie Ihren Spam- und Junkordner überprüfen und Ihre E-Mail nicht zu who.is hinzufügen können, wenden Sie sich an den HubSpot-Support bezüglich weiterer Möglichkeiten der Vorabbereitstellung.

Domain-Sicherheitseinstellungen

Sie können die Sicherheitseinstellungen für jede mit HubSpot verknüpfte Subdomain anpassen. Sicherheitseinstellungen umfassen Ihr Website-Protokoll (HTTP vs. HTTPS), die TLS-Version und Ihre Website-Sicherheits-Header.

So aktualisieren Sie die Sicherheitseinstellungen Ihrer Domain:

  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das Zahnradsymbol settings, um die Einstellungen aufzurufen.
  • Gehen Sie im Menü der Seitenleiste links zu „Domains & URLs“.
  • Klicken Sie neben der Domain auf „Bearbeiten“ und wählen Sie dann „Domain-Sicherheitseinstellungen aktualisieren“ aus.
update-domain-security-settings

HTTPS-Protokoll

Standardmäßig aktiviert HubSpot das HTTPS-Protokoll, sobald SSL bereitgestellt wurde. Dadurch werden Ihre Website-Besucher automatisch auf die sichere https-Version Ihrer Website und nicht auf die unsichere http-Version geleitet.

Wenn diese Option aktiviert ist, werden über HTTP geladene Inhalte, z. B. Bilder und Stylesheets auf Ihrer Website nicht geladen. Über HTTP auf einer HTTPS-Website geladene Inhalte werden als gemischte Inhalte bezeichnet. Erfahren Sie, wie Sie Fehler mit gemischten Inhalten auf Ihrer Seite beheben.

Um das HTTPS-Protokoll zu deaktivieren, deaktivieren Sie das Kontrollkästchen „HTTPS verlangen“.


require-https


TLS-Version

HubSpot-Server akzeptieren standardmäßig eine Verbindung mit TLS 1.0 und höher.

Um zu ändern, welche TLS-Versionen unterstützt werden, klicken Sie auf das Dropdown-Menü „TLS-Version“ und wählen Sie die niedrigste TLS-Version aus, die Sie unterstützen möchten. Verbindungen, die versuchen, eine TLS-Version unter der festgelegten Mindestversion zu verwenden, verursachen einen Fehler.

TLS-version

Sicherheits-Header

Konfigurieren Sie Ihre Domain-Sicherheit, indem Sie Einstellungen für Sicherheits-Header pro Domain aktivieren.

HTTP Strict Transport Security (HSTS)

Sie können Ihrer Website eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie HTTP Strict Transport Security (HSTS) aktivieren. HSTS lässt Browser alle HTTP-Anfragen stattdessen in HTTPS-Anfragen konvertieren. Durch Aktivieren von HSTS wird Antworten auf Anfragen an URLs in der Subdomain der HSTS-Header hinzugefügt.

  • Klicken Sie zum Aktivieren von HSTS auf die Registerkarte „Sicherheits-Header“ und wählen Sie dann das Kontrollkästchen „HTTP Strict Transport Security (HSTS)“ aus.


security-HSTS-setting

  • Um festzulegen, wie lange Browser HTTP-Anfragen in HTTPS-Anfragen konvertieren soll, klicken Sie auf das Dropdown-Menü „Dauer (max.)“ und wählen Sie eine Dauer aus.
  • Um die Preload-Direktive im HSTS-Header der Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen „Preload aktivieren“. Erfahren Sie mehr über HSTS-Preloading.
  • Um den HSTS-Header in allen Subdomains unter der ausgewählten Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen „Subdomains einschließen“ aus. Wenn beispielsweise HSTS für www.examplewebsite.com aktiviert ist und das Kontrollkästchen „Subdomains einschließen“  aktiviert ist, wird HSTS für cool.www.examplewebsite.com ebenfalls aktiviert.

Erfahren Sie mehr über den HSTS-Header.

Zusätzliche Domain-Sicherheitseinstellungen (nur CMS Hub Enterprise)

Wenn Sie über einen CMS HubEnterprise-Account verfügen, können Sie die folgenden zusätzlichen Sicherheitseinstellungen aktivieren.

X-Frame-Options

Aktivieren Sie den X-Frame-Options-Antwort-Header, um anzugeben, ob ein Browser eine Seite in <frame>-, <iframe>-, <embed>- oder <object>-HTML-Tags darstellen kann oder nicht

Um X-Frame-Options zu aktivieren, aktivieren Sie das Kontrollkästchen „X-Frame-Options“ und wählen Sie dann im Dropdown-Menü eine Direktive aus:

  • Um zu verhindern, dass Seiten auf Ihrer Domain auf einer beliebigen Seite in den oben genannten Tags geladen werden, wählen Sie „deny“ aus.
  • Um zuzulassen, dass Seiten auf Ihrer Domain nur in den oben genannten Tags geladen werden dürfen, wählen Sie „sameorigin“ aus.

    x-frame-options-setting

Erfahren Sie mehr über den X-Frame-Options-Header.

X-XSS-Protection

Aktivieren Sie den X-XSS-Protection-Header, um eine Sicherheitsstufe für Benutzer älterer Webbrowser hinzuzufügen, indem verhindert wird, dass Seiten geladen werden, wenn Cross-Site-Scripting erkannt wird.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „X-XSS-Protection“ und wählen Sie dann eine XSS-Einstellung im Dropdown-Menü aus:

  •  Um XSS-Filterung zu deaktivieren, wählen Sie „0“ aus.
  • Um die unsicheren Teile einer Seite zu entfernen, wenn ein Cross-Site-Scripting-Angriff erkannt wird, wählen Sie „1“ aus.
  • Um die Darstellung einer Seite zu verhindern, wenn ein Angriff erkannt wird, wählen Sie „1; mode=block“ aus.

    x-xss-protection-header

Erfahren Sie mehr über den X-XSS-Protection-Header.

X-Content-Type-Options

Aktivieren Sie den X-Content-Type-Options-Header, um Seiten von MIME-Typ-Sniffing abzumelden. Durch Aktivieren dieser Einstellung weisen Sie den Browser an, den in den Content-Type-Headern angekündigten MIME-Typen zu folgen. 

X-Content-Type-Options

Erfahren Sie mehr über den X-Content-Type-Options-Header.

Content-Security-Policy

Aktivieren Sie den Content-Security-Policy-Header, um Ressourcen zu steuern, die der Benutzer-Agent auf einer Seite laden kann. Mit diesem Header können Sie Cross-Site-Scripting-Angriffe verhindern.

Um den Content-Security-Policy-Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Content-Security-Policy“ und geben Sie dann Ihr Richtliniendirektiven an. Eine Liste der verfügbaren Direktiven finden Sie im Content-Security-Policy-Header-Leitfaden von Mozilla.

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie „Nonce aktivieren“ aus. 


content-security-policy-header

Content-Security-Policy-Report-Only

Aktivieren Sie den Content-Security-Policy-Report-Only-Header, um Richtliniendirektiven zu überwachen. Richtliniendirektiven werden nicht durchgesetzt, aber die Auswirkungen werden überwacht. Dies kann beim Experimentieren mit Richtlinien nützlich sein.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Content-Security-Policy-Report-Only“ und geben Sie dann Ihre Richtliniendirektiven ein. 

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie „Nonce aktivieren“ aus. 

content-security-policy-report-only-header

Erfahren Sie mehr über den Content-Security-Policy-Report-Only-Header.

Referrer-Policy

Aktivieren Sie den Referrer-Policy-Header, um zu steuern, wie viele Referrer-Informationen bei Anfragen enthalten sein sollen.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Referrer-Policy“ und wählen Sie dann im Dropdown-Menü eine Direktive aus.

referrer-policy-headerEine Definition der verfügbaren Direktiven finden Sie im Referrer-Policy-Leitfaden von Mozilla.

Feature-Policy

Aktivieren Sie den Feature-Policy-Header, um die Verwendung von Browser-Funktionen auf der Seite zu steuern, einschließlich des <iframe>-Elementinhalts.

Um diesen Header zu aktivieren, aktivieren Sie das Kontrollkästchen „Feature-Policy“ und geben Sie dann Ihre Direktiven ein. Eine Liste von Direktiven finden Sie im Feature-Policy-Leitfaden von Mozilla.

feature-policy-header

 

/de/cos-general/ssl-and-domain-security-in-hubspot