SSL und Domain-Sicherheit in HubSpot
Zuletzt aktualisiert am: Oktober 16, 2024
Mit einem der folgenden Abonnements verfügbar (außer in den angegebenen Fällen):
Alle |
HubSpot stellt automatisch ein Standard-SAN-SSL-Zertifikat über Google Trust Services bereit, wenn Sie eine Domain mit Ihrem Account verbinden. Dies dauert in der Regel einige Minuten, kann aber auch bis zu vier Stunden dauern.
Wenn Sie das benutzerdefinierte SSL Add-on erworben haben, können Sie benutzerdefinierte SSL-Zertifikate auf HubSpothochladen. Sie können außerdem Sicherheitseinstellungen für jede verknüpfte Domain konfigurieren, z. B. TLS-Version und Sicherheits-Header.
Bitte beachten Sie: Wenn während des SSL-Bereitstellungsprozesses Fehler auftreten, erfahren Sie mehr über Fehlerbehebung bei SSL-Zertifikaten.
SSL
Das über HubSpot bereitgestellte Standard-SAN-SSL-Zertifikat ist kostenlos und wird 30 Tage vor Ablauf automatisch verlängert. Um das Zertifikat zu verlängern, muss Folgendes erfüllt sein:
- Sie sind HubSpot-Kunde.
- Ihr Domain-CNAME verweist auf den gesicherten Server, den Sie beim ersten Vorgang eingerichtet haben.
- Google Trust Services ist die Zertifizierungsstelle, die ein Zertifikat für Ihre Domain bereitstellt. Wenn Ihre Domain einen CAA-Datensatz (Certification Authority Authorization) hat, stellen Sie sicher, dass pki.goog aufgeführt ist, damit SSL bereitgestellt oder erneuert werden kann.
- Wenn Sie ein Let's Encrypt SSL-Zertifikat verwenden, wird empfohlen, Ihren CAA-Datensatz zu entfernen und dann einen CAA-Datensatz hinzuzufügen, um Google Trust Services zu unterstützen. Dadurch wird sichergestellt, dass Ihre Website auf älteren Android-Geräten wie erwartet funktioniert.
Bereitstellen Ihres SSL-Zertifikats
Wenn Sie Ihre vorhandene Website zu HubSpot verschieben, sollten Sie ein SSL-Zertifikat vorab bereitstellen, damit es keine SSL-Ausfallzeiten gibt. Sie können ein SSL-Zertifikat im Voraus bereitstellen, während eine Domain mit HubSpotverbindet.
So stellen Sie ein SSL-Zertifikat vorab bereit:
- Im Rahmen der Verknüpfung der Domain wird auf der Seite für das DNS-Setup ein Banner angezeigt, wenn Ihre Website über ein vorhandenes SSL-Zertifikat verfügt. Klicken Sie auf Hier klicken, um den Bereitstellungsprozess zu starten.
- Folgen Sie den Anweisungen im Dialogfeld:
- Melden Sie sich bei Ihrem DNS-Anbieter wie GoDaddy oder Namecheap an.
- Gehen Sie bei Ihrem DNS-Anbieter zum Bildschirm mit den DNS-Einstellungen. Hier können Sie Ihre DNS-Einträge verwalten.
- Erstellen Sie neue DNS-Einträge gemäß dem Dialogfeld mithilfe der dort bereitgestellten Werte für Host (Name) und Wert.
Bitte beachten Sie: wenn Sie Network Solutions, Namecheap, oder GoDaddy verwenden, brauchen Sie die Root Domain nicht zu kopieren. Ihr Anbieter fügt eine Root-Domain automatisch am Ende des DNS-Eintrags hinzu.
- Klicken Sie auf Verifizieren. Es kann bis zu vier Stunden dauern, bis Ihre Änderungen verarbeitet werden. Wenn Sie einen Fehler erhalten, wenn Sie auf Verifizieren klicken, warten Sie ein paar Minuten und klicken Sie dann zum Überprüfen erneut auf Verifizieren.
Sobald Ihr Zertifikat vorab bereitgestellt wurde, wird im Bildschirm für das Verknüpfen der Domain ein Bestätigungsbanner angezeigt. Sie können dann weiter Ihre Domain verknüpfen.
Einen Domain Control Validation (DCV)-Eintrag einrichten
Wenn Sie in Ihren Domain-Einstellungen die Fehlermeldung „Reverse-Proxy-Domains erfordern Ihr Handeln, um Störungen der Website zu vermeiden“ sehen, wird empfohlen, einen Domain Control Validation (DCV)-Eintrag hinzuzufügen, um Ihr SSL-Zertifikat auf dem neuesten Stand zu halten.
Sie können einen DCV-Eintrag mit diesen Schritten hinzufügen:
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie für jede Domain mit einem Aktion erforderlich-Label auf das Dropdown-Menü Bearbeiten und wählen Sie DNS-Einträge anzeigen aus.
- Melden Sie sich in einem separaten Fenster bei Ihrem DNS-Anbieter an und rufen Sie Ihre DNS-Einträge auf. Ausführliche Anweisungen zur Bearbeitung Ihrer DNS-Datensätze für die gängigsten DNS-Anbieter finden Sie in der DNS-Einrichtungsanleitung .
- Kopieren Sie in HubSpot die Werte für den DCV-Eintrag im Dialogfeld und fügen Sie sie dann in einen neuen Eintrag im Konto Ihres DNS-Anbieters ein. Es kann bis zu 24 Stunden dauern, bis die Aktualisierung der DNS-Änderungen abgeschlossen ist.
Domain-Sicherheitseinstellungen
Sie können die Sicherheitseinstellungen für jede mit HubSpot verknüpfte Subdomain anpassen. Sicherheitseinstellungen umfassen Ihr Website-Protokoll (HTTP vs. HTTPS), die TLS-Version und Ihre Website-Sicherheits-Header.
So aktualisieren Sie die Sicherheitseinstellungen Ihrer Domain:
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie neben der Domain auf das Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren.
HTTPS-Protokoll
Sie können festlegen, dass für alle Seiten auf Ihrer Website ein sicheres Laden über HTTPS erforderlich ist. Wenn diese Einstellung aktiviert ist, werden über HTTP geladene Inhalte, z. B. Bilder und Stylesheets nicht auf Ihrer Website geladen. Über HTTP auf einer HTTPS-Website geladene Inhalte werden als gemischte Inhalte bezeichnet. Erfahren Sie, wie Sie Fehler bei gemischten Inhalten auf Ihrer Seite beheben können.
Um das HTTPS-Protokoll zu aktivieren, wählen Sie das Kontrollkästchen HTTPS verlangen aus.
TLS-Version
HubSpot-Server akzeptieren standardmäßig eine Verbindung mit TLS 1.0 und höher.
Um zu ändern, welche TLS-Versionen unterstützt werden, klicken Sie auf das Dropdown-Menü TLS-Version und wählen Sie die niedrigste TLS-Version aus, die Sie unterstützen möchten. Verbindungen, die versuchen, eine TLS-Version unter der festgelegten Mindestversion zu verwenden, verursachen einen Fehler.
Sicherheits-Header
Sie können die Sicherheit Ihrer Domain konfigurieren und die Sicherheits-Header für jede Domain aktivieren.
HTTP Strict Transport Security (HSTS)
Sie können Ihrer Website eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie HTTP Strict Transport Security (HSTS) aktivieren. HSTS lässt Browser alle HTTP-Anfragen stattdessen in HTTPS-Anfragen konvertieren. Durch Aktivieren von HSTS wird Antworten auf Anfragen an URLs in der Subdomain der HSTS-Header hinzugefügt.
- Klicken Sie zum Aktivieren von HSTS auf die Registerkarte Sicherheits-Header und wählen Sie dann das Kontrollkästchen HTTP Strict Transport Security (HSTS) aus.
- Um festzulegen, wie lange Browser HTTP-Anfragen in HTTPS-Anfragen konvertieren sollen, klicken Sie auf das Dropdown-Menü Dauer (max.) und wählen Sie eine Dauer aus.
- Um die Preload-Direktive im HSTS-Header der Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen Preload aktivieren. Erfahren Sie mehr über HSTS-Preloading.
- Um den HSTS-Header in allen Subdomains unter der ausgewählten Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen Subdomains einschließen aus. Wenn beispielsweise HSTS für www.beispielwebsite.com aktiviert ist und das Kontrollkästchen Subdomains einschließen ausgewählt ist, wird HSTS für cool.www.beispielwebsite.com ebenfalls aktiviert.
Erfahren Sie mehr über den HSTS-Header.
Zusätzliche Sicherheitseinstellungen für die Domain (nurContent Hub )
Wenn Sie ein Content Hub Starter, Professional oder Enterprise Konto haben, können Sie die zusätzlichen Sicherheitseinstellungen unten aktivieren.
X-Frame-Options
Aktivieren Sie den X-Frame-Options-Antwort-Header, um anzugeben, ob ein Browser eine Seite in <frame>-, <iframe>-, <embed>- oder <object>-HTML-Tags darstellen kann oder nicht
Um X-Frame-Options zu aktivieren, wählen Sie das Kontrollkästchen X-Frame-Options aus und wählen Sie dann im Dropdown-Menü eine Direktive aus:
- Um zu verhindern, dass Seiten auf Ihrer Domain auf einer beliebigen Seite in den oben genannten Tags geladen werden, wählen Sie deny aus.
- Um zuzulassen, dass Seiten auf Ihrer Domain nur in den oben genannten Tags geladen werden dürfen, wählen Sie sameorigin aus.
Erfahren Sie mehr über den X-Frame-Options-Header.
X-XSS-Protection
Aktivieren Sie den X-XSS-Protection-Header, um eine Sicherheitsstufe für Benutzer älterer Webbrowser hinzuzufügen, indem verhindert wird, dass Seiten geladen werden, wenn Cross-Site-Scripting erkannt wird.
Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen X-XSS-Protection aus und wählen Sie dann im Dropdown-Menü eine XSS-Einstellung aus:
- Um XSS-Filterung zu deaktivieren, wählen Sie 0 aus.
- Um die unsicheren Teile einer Seite zu entfernen, wenn ein Cross-Site-Scripting-Angriff erkannt wird, wählen Sie 1 aus.
- Um die Darstellung einer Seite zu verhindern, wenn ein Angriff erkannt wird, wählen Sie 1; mode=block aus.
Erfahren Sie mehr über den X-XSS-Protection-Header.
X-Content-Type-Options
Schalten Sie die Kopfzeile X-Content-Type-Options ein, um Seiten vom MIME-Typ-Sniffing auszuschließen. Durch Aktivieren dieser Einstellung weisen Sie den Browser an, den in den Content-Type-Headern angekündigten MIME-Typen zu folgen.
Erfahren Sie mehr über den X-Content-Type-Options-Header.
Content-Security-Policy
Aktivieren Sie den Content-Security-Policy-Header, um Ressourcen zu steuern, die der Benutzer-Agent auf einer Seite laden kann. Mit diesem Header können Sie Cross-Site-Scripting-Angriffe verhindern.
Um den Content-Security-Policy-Header zu aktivieren, wählen Sie das Kontrollkästchen Content-Security-Policy aus und geben Sie dann Ihr Richtliniendirektiven an. Eine Liste der verfügbaren Direktiven finden Sie im Content-Security-Policy-Header-Leitfaden von Mozilla.
Um die Kopfzeile "Content-Security-Policy" mit den Web-Versionen von Marketing-E-Mails zu verwenden, fügen Sie das Schlüsselwort "unsafe-inline" hinzu, wie hier beschrieben . Andernfalls wird das Styling in der E-Mail blockiert.
Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie Nonce aktivieren aus.
Bitte beachten: HubSpot generiert bei jeder Anfrage automatisch einen Zufallswert für alle Skripts von HubSpot und alle auf HubSpot gehosteten Skripte.
Die folgenden Domains und Direktiven sollten enthalten sein, um volle Funktionalität auf von HubSpot gehosteten Seiten zu gewährleisten:
Domain* | Direktive(n) | Tool |
*.hsadspixel.net | script-src | Anzeigen |
*.hs-analytics.net | script-src | Analytics |
*.hubapi.com | connect-src | API-Aufrufe (HubDB, Formulareinsendungen) |
js.hscta.net | script-src, img-src, connect-src | Calls-to-Action (Buttons) |
js-eu1.hscta.net (Nur europäisches Datenhosting) | script-src, img-src, connect-src | Calls-to-Action (Buttons) |
no-cache.hubspot.com | img-src | Calls-to-Action (Buttons) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Calls-to-Action (Pop-up), Chatflows |
*.hs-sites.com | frame-src | Calls-to-Action (Pop-up) |
*.hs-sites-eu1.com (Nur europäisches Datenhosting) | frame-src | Calls-to-Action (Pop-up) |
static.hsappstatic.net | script-src | Inhalt (HubSpot-Menü, Videoeinbettung) |
*.usemessages.com | script-src | Konversationen, Chatflows |
*.hs-banner.com | script-src, connect-src | Cookie-Banner |
*.hubspotusercontent##.net (## can be 00, 10, 20, 30, or 40) | script-src, img-src, style-src | Dateien |
*.hubspot.net | script-src, img-src, frame-src | Dateien |
play.hubspotvideo.com | frame-src | Dateien (Videos) |
play-eu1.hubspotvideo.com (Nur europäisches Datenhosting) | frame-src | Dateien (Videos) |
cdn2.hubspot.net | img-src, style-src | Dateien, Stylesheets |
Ihre mit HubSpot verknüpfte Domain | frame-src, style-src, script-src | Dateien, Stylesheets |
*.hscollectedforms.net | script-src, connect-src | Formulare (externe Formulare) |
*.hsleadflows.net | script-src | Formulare (Pop-up-Formulare) |
*.hsforms.net | script-src, img-src, frame-src | Formulare, Umfragen |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formulare, Umfragen |
*.hs-scripts.com | script-src | HubSpot-Tracking-Code |
*.hubspotfeedback.com | script-src | Umfragen |
feedback.hubapi.com | script-src | Umfragen |
feedback-eu1.hubapi.com (Nur Datenhosting in Europa) | script-src | Umfragen |
Content-Security-Policy-Report-Only
Aktivieren Sie den Content-Security-Policy-Report-Only-Header, um Richtliniendirektiven zu überwachen. Richtliniendirektiven werden nicht durchgesetzt, aber die Auswirkungen werden überwacht. Dies kann beim Experimentieren mit Richtlinien nützlich sein.
Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen Content-Security-Policy-Report-Only aus und geben Sie dann Ihre Richtliniendirektiven ein.
Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie Nonce aktivieren aus.
Erfahren Sie mehr über den Content-Security-Policy-Report-Only-Header.
Referrer-Policy
Aktivieren Sie den Referrer-Policy-Header, um zu steuern, wie viele Referrer-Informationen bei Anfragen enthalten sein sollen.
Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen Referrer-Policy aus und wählen Sie dann im Dropdown-Menü eine Direktive aus.
Eine Definition der verfügbaren Direktiven finden Sie im Referrer-Policy-Leitfaden von Mozilla.
Permissions-Policy
Aktivieren Sie den Permissions-Policy-Header, um die Verwendung von Browser-Funktionen auf der Seite zu steuern, einschließlich des <iframe>-Elementinhalts.
Um diesen Header zu aktivieren, wählen Sie das Permissions-Policy-Kontrollkästchen aus und geben Sie dann Ihre Richtlinien ein. Eine Liste von Direktiven finden Sie im Permissions-Policy-Leitfaden von Mozilla.