Zum Hauptinhalt
Hinweis: Dieser Artikel wird aus Kulanz zur Verfügung gestellt. Er wurde automatisch mit einer Software übersetzt und unter Umständen nicht korrekturgelesen. Die englischsprachige Fassung gilt als offizielle Version und Sie können dort die aktuellsten Informationen finden. Hier können Sie darauf zugreifen.

SSL und Domain-Sicherheit in HubSpot

Zuletzt aktualisiert am: November 10, 2023

Mit einem der folgenden Abonnements verfügbar (außer in den angegebenen Fällen):

Alle

HubSpot stellt automatisch ein SAN-SSL-Standardzertifikat über Google Trust Services bereit, wenn Sie eine Domain mit Ihrem Account verknüpfen. Dies dauert in der Regel einige Minuten, kann aber auch bis zu vier Stunden dauern.

Wenn Sie das Add-on für benutzerdefiniertes SSL erworben haben, können Sie SSL-Zertifikate in HubSpot hochladen. Sie können außerdem Sicherheitseinstellungen für jede verknüpfte Domain konfigurieren, z. B. TLS-Version und Sicherheits-Header.

Bitte beachten: Wenn Sie während der SSL-Bereitstellung auf Fehler stoßen, lesen Sie folgenden Artikel über die Behebung von SSL-Zertifikatfehlern.

SSL

Das über HubSpot bereitgestellte Standard-SAN-SSL-Zertifikat ist kostenlos und wird 30 Tage vor Ablauf automatisch verlängert. Um das Zertifikat zu verlängern, muss Folgendes erfüllt sein:

  • Sie sind HubSpot-Kunde.
  • Ihr Domain-CNAME verweist auf den gesicherten Server, den Sie beim ersten Vorgang eingerichtet haben.
Wenn Sie lieber einen anderen Anbieter oder Zertifikattyp verwenden möchten, können Sie Ihrem Account benutzerdefinierte SSL-Zertifikate hinzufügen, indem Sie das Add-on für benutzerdefiniertes SSL erwerben. Sie können nicht ein bereits vorhandenes SSL-Zertifikat verwenden, da dies die Sicherheit des Zertifikats beeinträchtigt.

Bitte beachten: Google Trust Services ist die Zertifizierungsstelle, die ein Zertifikat für Ihre Domain bereitstellt. Wenn Ihre Domain über einen CAA-Eintrag (Certification Authority Authorization) verfügt, stellen Sie sicher, dass digicert.com aufgeführt ist, damit SSL bereitgestellt oder erneuert werden kann.

Bereitstellen Ihres SSL-Zertifikats

Wenn Sie Ihre vorhandene Website zu HubSpot verschieben, sollten Sie ein SSL-Zertifikat vorab bereitstellen, damit es keine SSL-Ausfallzeiten gibt.  Sie können ein SSL-Zertifikat vorab bereitstellen, während Sie eine Domain mit HubSpot verknüpfen.

So stellen Sie ein SSL-Zertifikat vorab bereit:

  • Im Rahmen der Verknüpfung der Domain wird auf der Seite für das DNS-Setup ein Banner angezeigt, wenn Ihre Website über ein vorhandenes SSL-Zertifikat verfügt. Klicken Sie auf Hier klicken, um den Bereitstellungsprozess zu starten.

    pre-provision-ssl-certificate

  • Folgen Sie den Anweisungen im Dialogfeld:
    • Melden Sie sich bei Ihrem DNS-Anbieter wie GoDaddy oder Namecheap an.
    • Gehen Sie bei Ihrem DNS-Anbieter zum Bildschirm mit den DNS-Einstellungen. Hier können Sie Ihre DNS-Einträge verwalten.
    • Erstellen Sie neue DNS-Einträge gemäß dem Dialogfeld mithilfe der dort bereitgestellten Werte für Host (Name) und Wert.

Bitte beachten: Wenn Sie Network Solutions, Namecheap oder GoDaddy verwenden, müssen Sie die Root-Domain nicht kopieren. Ihr Anbieter fügt eine Root-Domain automatisch am Ende des DNS-Eintrags hinzu.

  • Klicken Sie auf Verifizieren. Es kann bis zu vier Stunden dauern, bis Ihre Änderungen verarbeitet werden. Wenn Sie einen Fehler erhalten, wenn Sie auf Verifizieren klicken, warten Sie ein paar Minuten und klicken Sie dann zum Überprüfen erneut auf Verifizieren.

Sobald Ihr Zertifikat vorab bereitgestellt wurde, wird im Bildschirm für das Verknüpfen der Domain ein Bestätigungsbanner angezeigt. Sie können dann weiter Ihre Domain verknüpfen.

ssl-pre-provision-success-banner

Einen Domain Control Validation (DCV)-Eintrag einrichten

Wenn Sie in Ihren Domain-Einstellungen die Fehlermeldung „Reverse-Proxy-Domains erfordern Ihr Handeln, um Störungen der Website zu vermeiden“ sehen, wird empfohlen, einen Domain Control Validation (DCV)-Eintrag hinzuzufügen, um Ihr SSL-Zertifikat auf dem neuesten Stand zu halten. 

reverse-proxy-alert

Sie können einen DCV-Eintrag mit diesen Schritten hinzufügen: 
  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
  • Gehen Sie im linken Seitenleistenmenü zu Website > Domains & URLs.
  • Klicken Sie für jede Domain mit einem Aktion erforderlich-Label auf das Dropdown-Menü Bearbeiten und wählen Sie DNS-Einträge anzeigen aus.

action-required-for-domain

  • Melden Sie sich in einem separaten Fenster bei Ihrem DNS-Anbieter an und rufen Sie Ihre DNS-Einträge auf. Ausführliche Anweisungen zur Bearbeitung Ihrer DNS-Einträge für die häufigsten DNS-Anbieter finden Sie im die Leitfaden für die DNS-Einrichtung
  • Kopieren Sie in HubSpot die Werte für den DCV-Eintrag im Dialogfeld und fügen Sie sie dann in einen neuen Eintrag im Konto Ihres DNS-Anbieters ein. Es kann bis zu 24 Stunden dauern, bis die Aktualisierung der DNS-Änderungen abgeschlossen ist.

Domain-Sicherheitseinstellungen

Sie können die Sicherheitseinstellungen für jede mit HubSpot verknüpfte Subdomain anpassen. Sicherheitseinstellungen umfassen Ihr Website-Protokoll (HTTP vs. HTTPS), die TLS-Version und Ihre Website-Sicherheits-Header.

So aktualisieren Sie die Sicherheitseinstellungen Ihrer Domain:

  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
  • Gehen Sie im linken Seitenleistenmenü zu Website > Domains & URLs.
  • Klicken Sie neben der Domain auf Bearbeiten und wählen Sie dann Domain-Sicherheitseinstellungen aktualisieren aus.
update-domain-security-settings


HTTPS-Protokoll

Sie können festlegen, dass für alle Seiten auf Ihrer Website ein sicheres Laden über HTTPS erforderlich ist. Wenn diese Einstellung aktiviert ist, werden über HTTP geladene Inhalte, z. B. Bilder und Stylesheets nicht auf Ihrer Website geladen. Über HTTP auf einer HTTPS-Website geladene Inhalte werden als gemischte Inhalte bezeichnet. Erfahren Sie, wie Sie Fehler mit gemischten Inhalten auf Ihrer Seite beheben.

Um das HTTPS-Protokoll zu aktivieren, wählen Sie das Kontrollkästchen HTTPS verlangen aus.

require-https

TLS-Version

HubSpot-Server akzeptieren standardmäßig eine Verbindung mit TLS 1.0 und höher.

Um zu ändern, welche TLS-Versionen unterstützt werden, klicken Sie auf das Dropdown-Menü TLS-Version und wählen Sie die niedrigste TLS-Version aus, die Sie unterstützen möchten. Verbindungen, die versuchen, eine TLS-Version unter der festgelegten Mindestversion zu verwenden, verursachen einen Fehler.

TLS-version

Sicherheits-Header

Sie können die Sicherheit Ihrer Domain konfigurieren und die Sicherheits-Header für jede Domain aktivieren.

HTTP Strict Transport Security (HSTS)

Sie können Ihrer Website eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie HTTP Strict Transport Security (HSTS) aktivieren. HSTS lässt Browser alle HTTP-Anfragen stattdessen in HTTPS-Anfragen konvertieren. Durch Aktivieren von HSTS wird Antworten auf Anfragen an URLs in der Subdomain der HSTS-Header hinzugefügt.

  • Klicken Sie zum Aktivieren von HSTS auf die Registerkarte Sicherheits-Header und wählen Sie dann das Kontrollkästchen HTTP Strict Transport Security (HSTS) aus.


security-HSTS-setting

  • Um festzulegen, wie lange Browser HTTP-Anfragen in HTTPS-Anfragen konvertieren sollen, klicken Sie auf das Dropdown-Menü Dauer (max.) und wählen Sie eine Dauer aus.
  • Um die Preload-Direktive im HSTS-Header der Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen Preload aktivieren. Erfahren Sie mehr über HSTS-Preloading.
  • Um den HSTS-Header in allen Subdomains unter der ausgewählten Domain zu berücksichtigen, aktivieren Sie das Kontrollkästchen Subdomains einschließen aus. Wenn beispielsweise HSTS für www.beispielwebsite.com aktiviert ist und das Kontrollkästchen Subdomains einschließen ausgewählt ist, wird HSTS für cool.www.beispielwebsite.com ebenfalls aktiviert.

Erfahren Sie mehr über den HSTS-Header.

Zusätzliche Domain-Sicherheitseinstellungen (nur CMS Hub)

Wenn Sie über einen CMS Hub- Starter-, Professional- oder Enterprise-Account verfügen, können Sie die folgenden zusätzlichen Sicherheitseinstellungen aktivieren.

X-Frame-Options

Aktivieren Sie den X-Frame-Options-Antwort-Header, um anzugeben, ob ein Browser eine Seite in <frame>-, <iframe>-, <embed>- oder <object>-HTML-Tags darstellen kann oder nicht

Um X-Frame-Options zu aktivieren, wählen Sie das Kontrollkästchen X-Frame-Options aus und wählen Sie dann im Dropdown-Menü eine Direktive aus:

  • Um zu verhindern, dass Seiten auf Ihrer Domain auf einer beliebigen Seite in den oben genannten Tags geladen werden, wählen Sie deny aus.
  • Um zuzulassen, dass Seiten auf Ihrer Domain nur in den oben genannten Tags geladen werden dürfen, wählen Sie sameorigin aus.

    x-frame-options-setting

Erfahren Sie mehr über den X-Frame-Options-Header.

X-XSS-Protection

Aktivieren Sie den X-XSS-Protection-Header, um eine Sicherheitsstufe für Benutzer älterer Webbrowser hinzuzufügen, indem verhindert wird, dass Seiten geladen werden, wenn Cross-Site-Scripting erkannt wird.

Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen X-XSS-Protection aus und wählen Sie dann im Dropdown-Menü eine XSS-Einstellung aus:

  • Um XSS-Filterung zu deaktivieren, wählen Sie 0 aus.
  • Um die unsicheren Teile einer Seite zu entfernen, wenn ein Cross-Site-Scripting-Angriff erkannt wird, wählen Sie 1 aus.
  • Um die Darstellung einer Seite zu verhindern, wenn ein Angriff erkannt wird, wählen Sie 1; mode=block aus.

    x-xss-protection-header

Erfahren Sie mehr über den X-XSS-Protection-Header.

X-Content-Type-Options

Aktivieren Sie den X-Content-Type-Options-Header, um Seiten von MIME-Typ-Sniffing abzumelden. Durch Aktivieren dieser Einstellung weisen Sie den Browser an, den in den Content-Type-Headern angekündigten MIME-Typen zu folgen.

x-content-type-options

Erfahren Sie mehr über den X-Content-Type-Options-Header.

Content-Security-Policy

Aktivieren Sie den Content-Security-Policy-Header, um Ressourcen zu steuern, die der Benutzer-Agent auf einer Seite laden kann. Mit diesem Header können Sie Cross-Site-Scripting-Angriffe verhindern.

Um den Content-Security-Policy-Header zu aktivieren, wählen Sie das Kontrollkästchen Content-Security-Policy aus und geben Sie dann Ihr Richtliniendirektiven an. Eine Liste der verfügbaren Direktiven finden Sie im Content-Security-Policy-Header-Leitfaden von Mozilla.

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie Nonce aktivieren aus.

Bitte beachten: HubSpot generiert bei jeder Anfrage automatisch einen Zufallswert für alle Skripts von HubSpot und alle auf HubSpot gehosteten Skripte.

Die folgenden Domains und Direktiven sollten enthalten sein, um volle Funktionalität auf von HubSpot gehosteten Seiten zu gewährleisten:

Domain* Direktive(n) Tool
*.hsadspixel.net script-src Werbeanzeigen
*.hs-analytics.net script-src  Analytics
*.hubapi.com connect-src API-Aufrufe (HubDB, Formulareinsendungen)
js.hscta.net script-src, img-src, connect-src Calls-to-Action (Buttons)
no-cache.hubspot.com img-src Calls-to-Action (Buttons)
*.hubspot.com script-src, img-src, connect-src, frame-src Calls-to-Action (Pop-up), Chatflows
*.hs-sites.com frame-src Calls-to-Action (Pop-up)
static.hsappstatic.net script-src Inhalt (HubSpot-Menü, Videoeinbettung)
*.usemessages.com script-src Konversationen, Chatflows
*.hs-banner.com script-src, connect-src Cookie-Banner
*.hubspotusercontent##.net (## can be 00, 10, 20, 30, or 40) script-src, img-src, style-src Dateien
*.hubspot.net script-src, img-src, frame-src Dateien
play.hubspotvideo.com frame-src Dateien (Videos)
cdn2.hubspot.net img-src, style-src Dateien, Stylesheets
Ihre mit HubSpot verknüpfte Domain frame-src, style-src, script-src Dateien, Stylesheets
*.hscollectedforms.net script-src, connect-src Formulare (externe Formulare)
*.hsleadflows.net script-src Formulare (Pop-up-Formulare)
*.hsforms.net script-src, img-src, frame-src Formulare, Umfragen
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Formulare, Umfragen
*.hs-scripts.com script-src HubSpot-Tracking-Code
*.hubspotfeedback.com script-src Umfragen
feedback.hubapi.com script-src Umfragen

Content-Security-Policy-Report-Only

Aktivieren Sie den Content-Security-Policy-Report-Only-Header, um Richtliniendirektiven zu überwachen. Richtliniendirektiven werden nicht durchgesetzt, aber die Auswirkungen werden überwacht. Dies kann beim Experimentieren mit Richtlinien nützlich sein.

Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen Content-Security-Policy-Report-Only aus und geben Sie dann Ihre Richtliniendirektiven ein.

Damit <script>-Elemente nur dann ausgeführt werden können, wenn Sie ein Nonce-Attribut enthalten, das dem zufällig generierten Wert entspricht, der im Header angezeigt wird, wählen Sie Nonce aktivieren aus.

content-security-policy-report-only-header

Erfahren Sie mehr über den Content-Security-Policy-Report-Only-Header.

Referrer-Policy

Aktivieren Sie den Referrer-Policy-Header, um zu steuern, wie viele Referrer-Informationen bei Anfragen enthalten sein sollen.

Um diesen Header zu aktivieren, wählen Sie das Kontrollkästchen Referrer-Policy aus und wählen Sie dann im Dropdown-Menü eine Direktive aus.

referrer-policy-headerEine Definition der verfügbaren Direktiven finden Sie im Referrer-Policy-Leitfaden von Mozilla.

Permissions-Policy

Aktivieren Sie den Permissions-Policy-Header, um die Verwendung von Browser-Funktionen auf der Seite zu steuern, einschließlich des <iframe>-Elementinhalts.

Um diesen Header zu aktivieren, wählen Sie das Permissions-Policy-Kontrollkästchen aus und geben Sie dann Ihre Richtlinien ein. Eine Liste von Direktiven finden Sie im Permissions-Policy-Leitfaden von Mozilla.

permissions-policy-directives

 

War dieser Artikel hilfreich?
Dieses Formular wird nur verwendet, um Feedback zur Dokumentation zu sammeln. Erfahren Sie, wie Sie Hilfe bei Fragen zu HubSpot erhalten können.