Nota: Este contenido se tradujo a través de un software y es posible que no haya sido revisado. La versión en inglés se considera, por tanto, la versión oficial y es posible que haya sido actualizada. Para acceder a la versión en inglés, haz clic aquí.
Domains & URLs

Seguridad de SSL y dominio en HubSpot

Última actualización: noviembre 5, 2020

Requisitos

Marketing Hub  Starter, Professional, Enterprise
CMS Hub  Professional, Enterprise
Marketing Hub Básico (versión anterior)

Cuando conectas un dominio a tu cuenta, HubSpot automáticamente ofrece un certificado SAN SSL estándar a través de DigiCert. Esto suele tardar unos minutos, pero puede tardar hasta cuatro horas. Si has comprado el complemento SSL personalizado, puedes cargar certificados SSL personalizados a HubSpot.

Para cada dominio conectado, también puedes configurar la configuración de seguridad, como la versión TLS y los encabezados de seguridad.

Nota: si encuentras algún error durante el proceso de aprovisionamiento de SSL, consulta nuestra guía de solución de problemas para los errores de certificación SSL de HubSpot.

SSL

El SSL estándar proporcionado a través de HubSpot es gratuito y renovará automáticamente el certificado 30 días antes de la fecha de vencimiento. Para renovar el certificado, ambas condiciones deben ser verdaderas:

  • Sigues siendo un cliente de HubSpot.
  • Sigues teniendo el nombre canónico del dominio asignado al servidor seguro que se estableció en el proceso inicial.
Sin embargo, si prefieres usar un proveedor diferente o tipo de certificado, puedes agregar certificados SSL personalizados a tu cuenta comprando el complemento SSL personalizado. No puedes usar un certificado SSL preexistente, ya que podrías comprometer la seguridad del certificado.

Nota: DigiCert es la autoridad de certificación que suministra un certificado a tu dominio. Si tu dominio tiene un registro de autorización del organismo de certificación (CAA), asegúrate de que digicert.com aparezca en la lista para que el SSL pueda aprovisionarse o renovarse.

Aprovisionamiento previo de tu certificado SSL

Si estás moviendo tu sitio existente a HubSpot, es recomendable pre-aprovisionar un certificado SSL para que no haya tiempo de inactividad de SSL. Puedes pre-aprovisionar un certificado SSL al conectar un dominio a HubSpot.

Para pre-aprovisionar un certificado SSL:

  • En la página Configuración de DNS del proceso de conexión del dominio, aparecerá un banner si tu sitio tiene un certificado SSL existente. Haz clic aquí para comenzar el proceso de aprovisionamiento. 

    pre-provision-ssl-certificate
  • Sigue las instrucciones en el cuadro de diálogo:
    • Inicia sesión en tu cuenta de proveedor de DNS, como GoDaddy o Namecheap.
    • En tu proveedor de DNS, navega a la pantalla Configuración de DNS donde administras tus registros de DNS.
    • Crea nuevos registros de DNS según el cuadro de diálogo usando el nombre de Host (nombre) y los valores de Valor proporcionados en el cuadro de diálogo.

Nota: si estás usando Network Solutions, Namecheap o GoDaddy, solo debes copiar todo hasta e incluyendo el subdominio. Tu proveedor agregará tu dominio de marca y el dominio de nivel superior al final del registro de DNS automáticamente.

  • Haz clic en Verificar. Puede tardar hasta cuatro horas para procesar tus cambios. Si tienes un error al hacer clic en Verificar, espera unos minutos y luego haz clic en Verificar para verificar nuevamente.

Una vez que se haya pre-aprovisionado el certificado, aparecerá un banner de confirmación en la pantalla de conexión de dominio. Luego puedes continuar conectando tu dominio.

ssl-pre-provision-success

Configuración de seguridad de dominio

Puedes personalizar la configuración de seguridad para cada subdominio conectado a HubSpot. La configuración de seguridad incluye tu protocolo de sitio web (HTTP vs. HTTPS), versión TLS y encabezados de seguridad de tu sitio web.

Para actualizar la configuración de seguridad de un dominio:

  • En tu cuenta de HubSpot, haz clic en el símbolo de configuración settings, situado en la barra de navegación principal.
  • En el menú de la barra lateral izquierda, navega a CMS > Dominios y URL.
  • Haz clic en Editar junto al dominio y luego selecciona Actualizar configuración de seguridad del dominio.
update-domain-security-settings

Protocolo HTTPS

De manera predeterminada, HubSpot habilita el protocolo HTTPS una vez que se haya aprovisionado SSL. Esto enviará automáticamente a los visitantes de tu sitio a la versión segura de https de tu sitio, en lugar de la http.

Una vez que esté activado, el contenido cargado en HTTP, como imágenes y hojas de estilo, no se cargará en tu sitio. El contenido cargado en HTTP en un sitio HTTPS se denomina contenido combinado. Descubre cómo resolver problemas de contenido mixto en tu página.

Para desactivar el protocolo HTTPS, borra la casilla de comprobación Requiere HTTPS.


require-https


Versión TLS

De manera predeterminada, los servidores de HubSpot aceptan una conexión usando TLS 1.0 y superior.

Para cambiar cuáles versiones de TLS son compatibles, haz clic en el menú desplegable Versión TLS y selecciona la versión TLS más baja que deseas respaldar. Las conexiones que intentan usar una versión de TLS inferior al conjunto mínimo fallarán.

Versión TLS

Encabezados de seguridad

Configurar la seguridad de tu dominio activando la configuración de encabezado de seguridad por dominio.

HTTP Strict Transport Security (HSTS)

Puedes agregar una capa adicional de seguridad a tu sitio web activando la seguridad HTTP Strict Transport (HSTS). HSTS instruye a los navegadores para que conviertan todas las solicitudes HTTP a solicitudes HTTPS. Activar HSTS agrega el encabezado de HSTS a las respuestas a solicitudes realizadas en las URL del subdominio.

  • Para activar HSTS, haz clic en la pestaña Encabezados de seguridad y luego selecciona la casilla de comprobación HTTP Strict Transport Security (HSTS).


security-HSTS-setting

  • Para establecer cuánto tiempo deben recordar los navegadores para convertir solicitudes HTTP en HTTPS, haz clic en el  menú desplegable Duración (máx.) y selecciona una duración.
  • Para incluir la directiva de precarga en el encabezado HSTS del dominio, selecciona la casilla de comprobación Activar precarga. Más información sobre la precarga de HSTS.
  • Para incluir el encabezado de HSTS en todos los subdominios en el subdominio seleccionado, selecciona la casilla de comprobación Incluir subdominios. Por ejemplo, si el HSS está activado para www.examplewebsite.com y la casilla Incluir subdominios está seleccionada, el sitio cool.www.examplewebsite.com también tendrá activado HSTS.

Más información sobre el encabezado HSTS.

Configuración de seguridad de dominio adicional (solo CMS Hub Enterprise)

Si tienes una cuenta CMS Hub Enterprise, puedes activar la configuración de seguridad adicional a continuación.

X-Frame-Options

Activar el encabezado de respuesta X-Frame-Options para indicar si un navegador puede mostrar una página o no en etiquetas <frame>, <iframe>, <embed> o <object>HTML.

Para activar X-Frame-Options, selecciona la casilla de comprobación X-Frame-Options y luego selecciona Directiva del menú desplegable:

  • Para evitar que las páginas de tu dominio se carguen en cualquier página en las etiquetas anteriores, selecciona negar.
  • Para permitir que las páginas de tu dominio carguen en las etiquetas anteriores en tu dominio solo, selecciona sameorigin.

    x-frame-options-setting

Más información sobre el encabezado X-Frame-Options.

X-XSS-Protection

Activa el encabezado X-XSS-Protection para agregar una capa de seguridad para los usuarios de navegadores web anteriores evitando que las páginas se carguen cuando se detecta un guion cruzado en el sitio web.

Para activar este encabezado, selecciona la casilla de comprobación X-XSS-Protection y luego selecciona Configuración XSS del menú desplegable:

  •  Para desactivar el filtro XSS, selecciona 0.
  • Para eliminar las partes inseguras de una página cuando se detecta un ataque de guiones cruzados de un sitio, selecciona 1.
  • Para evitar la eliminación de una página si se detecta un ataque, selecciona 1; mode=bloquear.

    x-xss-protection-header

Más información sobre el encabezado X-XSS-Protection.

X-Content-Type-Options

Activa el encabezado X-Content-Type-Options para cancelar las páginas de MIME type sniffing. Al activar esta configuración se le informa al navegador que siga los tipos MIME publicitados en los encabezados Content-Type. 

x-content-type-options

Más información sobre el encabezado X-Content-Type-Options.

Content-Security-Policy

Activa el encabezado Content-Security-Policy para controlar los recursos que el agente del usuario puede cargar en una página. Este encabezado ayuda a evitar ataques de guiones de sitios cruzados.

Para activar el encabezado Content-Security-Policy, selecciona la casilla de comprobación Content-Security-Policy y luego especifica tus Directivas sobre política s. Para una lista de las directivas disponibles, echa un vistazo a la Guía de encabezado Content-Security-Policy de Mozilla.

Para permitir que los <script>elementos se ejecuten solo si contienen un atributo nonce que coincida con el valor de encabezado generado aleatoriamente, selecciona Activar nonce


content-security-policy-header

Content-Security-Policy-Report-Only

Activar el encabezado Content-Security-Policy-Report-Only para monitorizar las directivas de políticas. No se aplicarán las directivas de políticas, pero los efectos se monitorizarán, lo que puede ser útil cuando se experimenta con políticas.

Para activar este encabezado, selecciona la casilla de comprobación Content-Security-Policy-Report-Only y luego ingresa tu Directiva de políticas

Para permitir que los <script>elementos se ejecuten solo si contienen un atributo nonce que coincida con el valor de encabezado generado aleatoriamente, selecciona Activar nonce

content-security-policy-report-only-header

Más información sobre el encabezado Content-Security-Policy-Report-Only.

Referrer-Policy

Activar el encabezado Referrer-Policy para controlar la cantidad de información de referencia que debe incluirse en las solicitudes.

Para activar este encabezado, selecciona la casilla de comprobación Referrer-Policy y luego selecciona Directiva en el menú desplegable.

referrer-policy-headerPara una definición de las directivas disponibles, consulta la Guía Referrer-Policy de Mozilla.

Feature-Policy

Activa el encabezado Feature-Policy para controlar el uso de las características del navegador en la página, incluyendo <iframe> contenido del elemento.

Para activar este encabezado, selecciona la casilla de comprobación Feature-Policy y luego ingresa Directivas. Para una lista de las directivas, consulta la Guía Feature-Policy de Mozilla.

feature-policy-header