- Wissensdatenbank
- Content
- Domains & URLs
- SSL und Domain-Sicherheit in HubSpot
SSL und Domain-Sicherheit in HubSpot
Zuletzt aktualisiert am: 26 September 2025
Mit einem der folgenden Abonnements verfügbar (außer in den angegebenen Fällen):
HubSpot stellt automatisch ein Standard-SAN-SSL-Zertifikat über Google Trust Services bereit, wenn Sie eine Domain mit Ihrem Account verbinden. Die Standard-SSL-Bereitstellung dauert in der Regel einige Minuten, kann jedoch bis zu vier Stunden dauern.
Wenn Sie das benutzerdefinierte SSL Add-on erworben haben, können Sie benutzerdefinierte SSL-Zertifikate in HubSpot hochladen. Sie können außerdem Sicherheitseinstellungen für jede verknüpfte Domain konfigurieren, z. B. TLS-Versionen und Sicherheits-Header.
Bitte beachten: Wenn während des SSL-Bereitstellungsprozesses Fehler auftreten, erfahren Sie hier mehr über das Beheben von Fehlern bei SSL-Zertifikaten.
SSL
Das über HubSpot bereitgestellte Standard-SAN-SSL-Zertifikat ist kostenlos und wird 30 Tage vor Ablauf automatisch verlängert. Um das Zertifikat zu verlängern, muss Folgendes erfüllt sein:
- Sie sind HubSpot-Kunde.
- Ihr Domain-CNAME verweist auf den gesicherten Server, den Sie beim ersten Vorgang eingerichtet haben.
- Google Trust Services ist die Zertifizierungsstelle, die ein Zertifikat für Ihre Domain bereitstellt. Wenn Ihre Domain einen CAA-Datensatz (Certification Authority Authorization) hat, stellen Sie sicher, dass pki.goog aufgeführt ist, damit SSL bereitgestellt oder erneuert werden kann.
- Wenn Sie ein Let's Encrypt SSL-Zertifikat verwenden, wird empfohlen, Ihren CAA-Datensatz zu entfernen und dann einen CAA-Datensatz hinzuzufügen, um Google Trust Services zu unterstützen. Dadurch wird sichergestellt, dass Ihre Website auf älteren Android-Geräten wie erwartet funktioniert.
Bereitstellen Ihres SSL-Zertifikats
Wenn Sie Ihre vorhandene Website zu HubSpot verschieben, sollten Sie ein SSL-Zertifikat vorab bereitstellen, damit es keine SSL-Ausfallzeiten gibt. Sie können ein SSL-Zertifikat vorab bereitstellen, während Sie eine Domain mit HubSpot verknüpfen.
- Während des Verknüpfungsprozesses für eine Domain wird ein Banner angezeigt, wenn Ihre Website über ein vorhandenes SSL-Zertifikat verfügt. Klicken Sie auf Vorabbereitstellung und befolgen Sie die Anweisungen im Dialogfeld, um den Bereitstellungsprozess zu starten.
- Melden Sie sich in einem separaten Browserfenster oder einer separaten Registerkarte auf der Website Ihres Domain-Anbieters an (z. B. GoDaddy oder Namecheap).
- Gehen Sie auf der Website Ihres Domains-Anbieters zu den DNS-Einstellungen, in denen Sie Ihre DNS-Einträge verwalten.
- Erstellen Sie neue DNS-Einträge gemäß dem Dialogfeld " SSL-Zertifikat vorab bereitstellen" in HubSpot. Kopieren Sie die Werte für den Host und die erforderlichen Daten .
- Wenn Sie fertig sind, klicken Sie im Dialogfeld " SSL-Zertifikat vorab bereitstellen " auf Verifizieren. Es kann bis zu vier Stunden dauern, bis Ihre Änderungen verarbeitet werden. Wenn Sie einen Fehler erhalten, wenn Sie auf Verifizieren klicken, warten Sie ein paar Minuten und klicken Sie dann zum Überprüfen erneut auf Verifizieren .
Bitte beachten Sie: wenn Sie Network Solutions, Namecheap, oder GoDaddy verwenden, brauchen Sie die Root Domain nicht zu kopieren. Ihr Anbieter fügt eine Root-Domain automatisch am Ende des DNS-Eintrags hinzu.
- Nachdem Ihr Zertifikat vorab bereitgestellt wurde, wird auf dem Bildschirm für das Verknüpfen der Domain ein Bestätigungsbanner angezeigt. Sie können dann weiter Ihre Domain verknüpfen.
Einen Domain Control Validation (DCV)-Eintrag einrichten
Wenn Sie in Ihren Domain-Einstellungen die Fehlermeldung „Reverse-Proxy-Domains erfordern Ihr Handeln, um Störungen der Website zu vermeiden“ sehen, wird empfohlen, einen Domain Control Validation (DCV)-Eintrag hinzuzufügen, um Ihr SSL-Zertifikat auf dem neuesten Stand zu halten.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie für jede Domain mit einem Label Aktion erforderlich auf das Dropdown-Menü Aktionen und wählen Sie DNS-Einträge anzeigen aus.
- Melden Sie sich in einem separaten Browserfenster oder einer separaten Registerkarte bei der Website Ihres Domain-Anbieters an und rufen Sie Ihre DNS-Einträge auf. Erfahren Sie mehr über die DNS-Einrichtung für die gängigsten Anbieter.
- Gehen Sie auf der Website Ihres Domains-Anbieters zu den DNS-Einstellungen, in denen Sie Ihre DNS-Einträge verwalten.
- Erstellen Sie neue DNS-Einträge gemäß dem Dialogfeld in HubSpot. Kopieren Sie die Werte für die DCV-Einträge und fügen Sie sie in den neuen Eintrag auf der Website Ihres Domain-Anbieters in den DNS-Einstellungen ein.
- Wenn Sie eine neue DCV-Eintrag zu Ihrem DNS Account hinzufügen, kann es bis zu 24 Stunden dauern, bis die Aktualisierung der DNS Änderungen abgeschlossen ist.
Domain-Sicherheitseinstellungen
Sie können die Sicherheitseinstellungen für jede mit HubSpot verknüpfte Subdomain anpassen. Sicherheitseinstellungen umfassen Ihr Website-Protokoll (HTTP vs. HTTPS), die TLS-Version und Ihre Website-Sicherheits-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
HTTPS-Protokoll
Sie können festlegen, dass für alle Seiten auf Ihrer Website ein sicheres Laden über HTTPS erforderlich ist. Wenn diese Einstellung aktiviert ist, werden über HTTP geladene Inhalte, z. B. Bilder und Stylesheets, nicht auf Ihrer Website geladen. Über HTTP auf einer HTTPS-Website geladene Inhalte werden als gemischte Inhalte bezeichnet. Erfahren Sie, wie Sie Fehler mit gemischten Inhalten auf Ihrer Seite beheben.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Aktivieren Sie im rechten Seitenbereich das Kontrollkästchen HTTPS verlangen , um zu verlangen, dass alle Seiten auf der Domain sicher über HTTPS statt HTTP geladen werden.
- Wenn Sie fertig sind, klicken Sie auf Speichern.

TLS-Version
HubSpot-Server akzeptieren standardmäßig eine Verbindung mit TLS 1.0 und höher. Verbindungen, die versuchen, eine TLS-Version unter der festgelegten Mindestversion zu verwenden, verursachen einen Fehler.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf das Dropdown-Menü TLS-Version und wählen Sie eine Option aus.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Sicherheits-Header
Sie können die Sicherheit Ihrer Domain konfigurieren und die Sicherheits-Header für jede Domain aktivieren.
HTTP Strict Transport Security (HSTS)
Sie können Ihrer Website eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie HTTP Strict Transport Security (HSTS) aktivieren. HSTS lässt Browser alle HTTP-Anfragen stattdessen in HTTPS-Anfragen konvertieren. Durch Aktivieren von HSTS wird Antworten auf Anfragen an URLs in der Subdomain der HSTS-Header hinzugefügt. Erfahren Sie mehr über den HSTS-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um HSTS zu aktivieren, aktivieren Sie das Kontrollkästchen HTTP Strict Transport Security (HSTS).
- Um zu bearbeiten, wie lange Browser HTTP-Anfragen in HTTPS-Anfragen konvertieren sollen, klicken Sie auf das Dropdown-Menü Dauer (max. Alter) und wählen Sie eine Dauer aus.
- Um die Preload-Direktive im HSTS-Header der Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen „Preload aktivieren“. Erfahren Sie mehr über HSTS-Preloading.
- Um den HSTS-Header in allen Subdomains unter der ausgewählten Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen Subdomains einschließen . Wenn beispielsweise HSTS für www.examplewebsite.com aktiviert ist und das Kontrollkästchen „Subdomains einschließen“ ausgewählt ist, wird HSTS für cool.www.examplewebsite.com ebenfalls aktiviert.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Zusätzliche Sicherheitseinstellungen für die Domain (nurContent Hub )
Wenn Sie ein Content Hub Starter, Professional oder Enterprise Konto haben, können Sie die zusätzlichen Sicherheitseinstellungen unten aktivieren.
X-Frame-Options
Sie können den X-Frame-Options-Antwort-Header aktivieren, um anzuzeigen, ob ein Browser eine Seite in <frame>
-, <iframe>
<embed>
-, - oder <object>
-HTML-Tags darstellen kann. Erfahren Sie mehr über den X-Frame-Options-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um X-Frame-Options zu aktivieren, aktivieren Sie das Kontrollkästchen X-Frame-Options und klicken Sie dann auf das Dropdown-Menü Direktive , um eine Option auszuwählen:
- Um zu verhindern, dass Seiten auf Ihrer Domain auf einer beliebigen Seite in den oben genannten Tags geladen werden, wählen Sie „deny“ aus.
- Um zuzulassen, dass Seiten auf Ihrem Domain nur in den oben genannten Tags auf Ihrem Domain geladen werden, wählen Sie sameorigin aus.
- Wenn Sie fertig sind, klicken Sie auf Speichern.

X-XSS-Protection
Sie können den X-XSS-Protection-Header aktivieren, um eine Sicherheitsstufe für Benutzer älterer Webbrowser hinzuzufügen. Das Aktivieren von X-XSS-Protection verhindert, dass Seiten geladen werden, wenn Cross-Site-Scripting erkannt wird. Erfahren Sie mehr über den X-XSS-Protection-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um den X-XSS-Protection-Header zu aktivieren, wählen Sie das X-XSS-Protection-Kontrollkästchen aus, klicken Sie dann auf das Dropdown-Menü XSS-Einstellung und wählen Sie eine Option aus:
- Um XSS-Filterung zu deaktivieren, wählen Sie „0“ aus.
- Um unsichere Teile einer Seite zu entfernen, wenn ein Cross-Site-Scripting-Angriff erkannt wird, wählen Sie 1 aus.
- Um die Darstellung einer Seite zu verhindern, wenn ein Angriff erkannt wird, wählen Sie 1; mode=block aus.
- Wenn Sie fertig sind, klicken Sie auf Speichern.

X-Content-Type-Options
Sie können den X-Content-Type-Options-Header aktivieren, um Seiten von MIME-Typ-Sniffing abzumelden. Durch Aktivieren dieser Einstellung weisen Sie den Browser an, den in den Content-Type-Headern angekündigten MIME-Typen zu folgen. Erfahren Sie mehr über den X-Content-Type-Options-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um Seiten von MIME-Typ-Sniffing zu deaktivieren, aktivieren Sie das Kontrollkästchen X-Content-Type-Options .
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Content-Security-Policy
Sie können den Content-Security-Policy-Header aktivieren, um die Ressourcen zu steuern, die der Benutzer-Agent auf einer Seite laden kann. Mit diesem Header können Sie Cross-Site-Scripting-Angriffe verhindern.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um die Ressource zu steuern, die der Benutzer-Agent laden kann, aktivieren Sie das Kontrollkästchen Content-Security-Policy :
- Geben Sie imFeld Richtliniendirektiven Direktiven ein.
- Um volle Funktionalität auf von HubSpot gehosteten Seiten zu gewährleisten, sollten die Domains und Direktiven in der folgenden Tabelle enthalten sein.
- Eine Liste anderer verfügbarer Direktiven finden Sie im Content-Security-Policy-Header-Leitfaden von Mozilla.
- Um den Content-Security-Policy-Header mit den Webversionen von Marketing-E-Mails zu verwenden, geben Sie unsafe-inline als hier beschriebenes Schlüsselwort ein. Andernfalls wird das Styling in der E-Mail blockiert.
<script>
Damit Elemente nur ausgeführt werden können, wenn sie ein Nonce-Attribut enthalten, das mit dem zufällig generierten Wert im Header übereinstimmt, aktivieren Sie das Nonce-Kontrollkästchen aktivieren.
- Geben Sie imFeld Richtliniendirektiven Direktiven ein.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Bitte beachten: HubSpot generiert bei jeder Anfrage automatisch einen Zufallswert für alle Skripts von HubSpot und alle auf HubSpot gehosteten Skripte.
Die folgenden Domains und Direktiven sollten enthalten sein, um volle Funktionalität auf von HubSpot gehosteten Seiten zu gewährleisten:
Domain* | Direktive(n) | Tool |
*.hsadspixel.net | script-src | Anzeigen |
*.hs-analytics.net | script-src | Analytics |
*.hubapi.com | connect-src | API-Aufrufe (HubDB, Formulareinsendungen) |
js.hscta.net | script-src, img-src, connect-src | Calls-to-Action (Buttons) |
js-eu1.hscta.net (Nur europäisches Datenhosting) | script-src, img-src, connect-src | Calls-to-Action (Buttons) |
no-cache.hubspot.com | img-src | Calls-to-Action (Buttons) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Calls-to-Action (Pop-up), Chatflows |
*.hs-sites.com | frame-src | Calls-to-Action (Pop-up) |
*.hs-sites-eu1.com (Nur europäisches Datenhosting) | frame-src | Calls-to-Action (Pop-up) |
static.hsappstatic.net | script-src | Inhalt (HubSpot-Menü, Videoeinbettung) |
*.usemessages.com | script-src | Konversationen, Chatflows |
*.hs-banner.com | script-src, connect-src | Cookie-Banner |
*.hubspotusercontent##.net (## can be 00, 10, 20, 30, or 40) | script-src, img-src, style-src | Dateien |
*.hubspot.net | script-src, img-src, frame-src | Dateien |
play.hubspotvideo.com | frame-src | Dateien (Videos) |
play-eu1.hubspotvideo.com (Nur europäisches Datenhosting) | frame-src | Dateien (Videos) |
cdn2.hubspot.net | img-src, style-src | Dateien, Stylesheets |
Ihre mit HubSpot verknüpfte Domain | frame-src, style-src, script-src | Dateien, Stylesheets |
*.hscollectedforms.net | script-src, connect-src | Formulare (externe Formulare) |
*.hsleadflows.net | script-src | Formulare (Pop-up-Formulare) |
*.hsforms.net | script-src, img-src, frame-src | Formulare, Umfragen |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formulare, Umfragen |
*.hs-scripts.com | script-src | HubSpot-Tracking-Code |
*.hubspotfeedback.com | script-src | Umfragen |
feedback.hubapi.com | script-src | Umfragen |
feedback-eu1.hubapi.com (Nur Datenhosting in Europa) | script-src | Umfragen |
Content-Security-Policy-Report-Only
Sie können den Content-Security-Policy-Report-Only-Header aktivieren, um Richtliniendirektiven zu überwachen. Richtliniendirektiven werden nicht durchgesetzt, aber die Auswirkungen werden überwacht, was beim Experimentieren mit Richtlinien nützlich sein kann. Erfahren Sie mehr über den Content-Security-Policy-Report-Only-Header.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen „Content-Security-Policy-Report-Only“ aus und geben Sie dann Ihre Richtliniendirektiven ein.
- Um zuzulassen, dass
<script>
Elemente nur ausgeführt werden, wenn sie ein Nonce-Attribut enthalten, das mit dem zufällig generierten Headerwert übereinstimmt, aktivieren Sie das Kontrollkästchen Nonce aktivieren. - Wenn Sie fertig sind, klicken Sie auf Speichern.
Referrer-Policy
Sie können den Referrer-Policy-Header aktivieren, um zu steuern, wie viele Referrer-Informationen bei Anfragen enthalten sein sollen. Eine Definition der verfügbaren Direktiven finden Sie im Referrer-Policy-Leitfaden von Mozilla.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Umzu steuern, wie viele Referrer-Informationen in Anfragen enthalten sein sollen, aktivieren Sie das Kontrollkästchen Referrer-Policy, klicken Sie dann auf das Dropdown-Menü Direktive und wählen Sie eine Option aus.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
Permissions-Policy
Sie können den Permissions-Policy-Header aktivieren, um die Verwendung von Browser-Funktionen auf der Seite, einschließlich <iframe>
des -Elementinhalts, zu steuern.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Gehen Sie in der linken Seitenleiste zu Content > Domains & URLs.
- Klicken Sie auf das Dropdown-Menü Aktionen und wählen Sie Domain-Sicherheitseinstellungen aktualisieren aus.
- Klicken Sie im rechten Seitenbereich auf den Tab Sicherheits-Header.
- Um die Verwendung von Browser-Funktionen zu steuern, aktivieren Sie das Kontrollkästchen Permissions-Policy und geben Sie dann Ihre Richtlinien ein. Eine Liste von Direktiven finden Sie im Permissions-Policy-Leitfaden von Mozilla.
- Wenn Sie fertig sind, klicken Sie auf Speichern.