Seguridad de SSL y dominio en HubSpot
Última actualización: octubre 16, 2024
Disponible con cualquiera de las siguientes suscripciones, a no ser que se indique de otro modo:
Todos los productos y planes |
HubSpot proporciona automáticamente un certificado SSL SAN estándar a través de Google Trust Services cuando conectas un dominio a tu cuenta. En general, esto tarda unos minutos, pero algunas veces puede tardar hasta cuatro horas.
Si has adquirido el complemento de SSL personalizado, puedes cargar certificados SSL personalizados en HubSpot. También puedes establecer la configuración de seguridad, como la versión TLS y los encabezados de seguridad.
Por favor, Nota: si encuentras errores durante el proceso de aprovisionamiento SSL, obtén más información sobre solución de problemas de errores de certificados SSL.
SSL
El SSL SAN estándar proporcionado a través de HubSpot es gratuito y se renueva automáticamente 30 días antes de su vencimiento. Para renovar el certificado:
- Debes ser cliente de HubSpot.
- Debes tener el CNAME de tu dominio asignado al servidor seguro que se estableció en el proceso inicial.
- Google Trust Services es la autoridad de certificación que suministra un certificado a tu dominio. Si tu dominio tiene un registro de autorización del organismo de certificación (CAA), asegúrate de que pki.goog aparezca en la lista para que el SSL pueda aprovisionarse o renovarse.
- Si utilizas un certificado SSL Let's Encrypt, se recomienda eliminar tu registro CAA y, a continuación, agregar un registro CAA para admitir Google Trust Services. Esto garantizará que tu sitio web funcione como es debido en los dispositivos Android más antiguos.
Aprovisionamiento previo de tu certificado SSL
Si estás moviendo tu sitio existente a HubSpot, es recomendable pre-aprovisionar un certificado SSL para que no haya tiempo de inactividad de SSL. Puedes preproveer un certificado SSL mientras conecta un dominio a HubSpot.
Para pre-aprovisionar un certificado SSL:
- En la página Configuración de DNS del proceso de conexión del dominio, aparecerá un banner si tu sitio tiene un certificado SSL existente. Haz clic aquí para comenzar el proceso de aprovisionamiento.
- Sigue las instrucciones en el cuadro de diálogo:
- Inicia sesión en tu cuenta de proveedor de DNS, como GoDaddy o Namecheap.
- En tu proveedor de DNS, navega a la pantalla Configuración de DNS donde administras tus registros de DNS.
- Crea nuevos registros de DNS según el cuadro de diálogo usando el nombre de Host (nombre) y los valores de Valor proporcionados en el cuadro de diálogo.
Nota: si utilizas Network Solutions, Namecheap o GoDaddy, no necesitas copiar el dominio raíz. Tu proveedor agregará tu dominio raíz al final del registro de DNS automáticamente.
- Haz clic en Verificar. Puede tardar hasta cuatro horas para procesar tus cambios. Si recibes un mensaje de error al hacer clic en Verificar, espera unos minutos y luego haz clic en Verificar para verificar nuevamente.
Una vez que se haya pre-aprovisionado el certificado, aparecerá un banner de confirmación en la pantalla de conexión de dominio. Luego puedes continuar conectando tu dominio.
Configurar un registro de Validación de control de dominio (DCV)
Si ves un error en la configuración de tu dominio que indica que "Los dominios de proxy inverso necesitan tu acción para evitar la interrupción del sitio web", se recomienda agregar un registro de Validación de control de dominio (DCV) para mantener actualizado tu certificado SSL.
Puedes agregar un registro DCV siguiendo estos pasos:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega a Contenido > Dominios y URL.
- Para cada dominio con una etiqueta Acción requerida , haz clic en el menú desplegable Editar y selecciona Mostrar registros DNS.
- En otra ventana, inicia sesión en tu proveedor de DNS y accede a tus registros DNS. Para obtener instrucciones detalladas sobre la edición de tus Registros de DNS para los proveedores de DNS más comunes, consulta la guía de configuración de DNS .
- En HubSpot, copia los valores para el registro DCV en el cuadro de diálogo y luego pégalos en un nuevo registro en tu cuenta de proveedor de DNS. Puede tardar hasta 24 horas para que los cambios de DNS se terminen de actualizar.
Configuración de seguridad de dominio
Puedes personalizar la configuración de seguridad para cada subdominio conectado a HubSpot. La configuración de seguridad incluye tu protocolo de sitio web (HTTP vs. HTTPS), versión TLS y encabezados de seguridad de tu sitio web.
Para actualizar la configuración de seguridad de un dominio:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega a Contenido > Dominios y URL.
- Junto al dominio, haz clic en el menú Acciones y selecciona Actualizar la configuración de seguridad del dominio.
Protocolo HTTPS
Puedes exigir que todas las páginas de tu sitio se carguen de manera segura en HTTPS. Una vez que esté activada esta configuración, el contenido cargado en HTTP, como imágenes y hojas de estilo, no se cargará en tu sitio. El contenido cargado en HTTP en un sitio HTTPS se denomina contenido combinado. Aprende a resolver errores de contenido mixto en tu página.
Para activar el protocolo HTTPS, selecciona la casilla de comprobación Requiere HTTPS.
Versión TLS
De manera predeterminada, los servidores de HubSpot aceptan una conexión usando TLS 1.0 y superior.
Para cambiar cuáles versiones de TLS son compatibles, haz clic en el menú desplegable Versión TLS y selecciona la versión TLS más baja que deseas respaldar. Las conexiones que intentan usar una versión de TLS inferior al conjunto mínimo fallarán.
Encabezados de seguridad
Puedes configurar la seguridad de tu dominio y activar encabezados de seguridad para cada dominio.
HTTP Strict Transport Security (HSTS)
Puedes agregar una capa adicional de seguridad a tu sitio web activando la seguridad HTTP Strict Transport (HSTS). HSTS instruye a los navegadores para que conviertan todas las solicitudes HTTP a solicitudes HTTPS. Activar HSTS agrega el encabezado de HSTS a las respuestas a solicitudes realizadas en las URL del subdominio.
- Para activar HSTS, haz clic en la pestaña Encabezados de seguridad y luego selecciona la casilla de comprobación HTTP Strict Transport Security (HSTS).
- Para establecer cuánto tiempo deben recordar los navegadores convertir solicitudes HTTP en HTTPS, haz clic en el menú desplegable Duración (máx.) y selecciona una duración.
- Para incluir la directiva de precarga en el encabezado HSTS del dominio, selecciona la casilla de comprobación Activar precarga. Más información sobre la precarga de HSTS.
- Para incluir el encabezado de HSTS en todos los subdominios en el subdominio seleccionado, selecciona la casilla de comprobación Incluir subdominios. Por ejemplo, si el HSS está activado para www.examplewebsite.com y la casilla de comprobación Incluir subdominios está seleccionada, el sitio cool.www.examplewebsite.com también tendrá activado HSTS.
Más información sobre el encabezado HSTS.
Ajustes adicionales de seguridad del dominio (Content Hub solamente)
Si tienes una cuenta Content Hub Starter, Pro o Enterprise, puedes activar la configuración de seguridad adicional a continuación.
X-Frame-Options
Activa el encabezado de respuesta X-Frame-Options para indicar si un navegador puede mostrar una página o no en etiquetas <frame>, <iframe>, <embed> o <object>HTML.
Para activar X-Frame-Options, selecciona la casilla de comprobación X-Frame-Options y luego selecciona Directiva del menú desplegable:
- Para evitar que las páginas de tu dominio se carguen en cualquier página en las etiquetas anteriores, selecciona negar.
- Para permitir que las páginas de tu dominio se carguen solo en las etiquetas anteriores en tu dominio, selecciona sameorigin.
Más información sobre el encabezado X-Frame-Options.
X-XSS-Protection
Activa el encabezado X-XSS-Protection para agregar una capa de seguridad para los usuarios de navegadores web anteriores evitando que las páginas se carguen cuando se detecta un script de sitios cruzados.
Para activar este encabezado, selecciona la casilla de comprobación X-XSS-Protection y luego selecciona Configuración XSS en el menú desplegable:
- Para desactivar el filtro XSS, selecciona 0.
- Para eliminar las partes inseguras de una página cuando se detecta un ataque de scripts de sitios cruzados, selecciona 1.
- Para evitar la renderización de una página si se detecta un ataque, selecciona 1; mode=block.
Más información sobre el encabezado X-XSS-Protection.
X-Content-Type-Options
Active la cabecera X-Content-Type-Options para excluir las páginas de MIME type sniffing. Al activar esta configuración se le informa al navegador que siga los tipos MIME publicitados en los encabezados Content-Type.
Más información sobre el encabezado X-Content-Type-Options.
Content-Security-Policy
Activa el encabezado Content-Security-Policy para controlar los recursos que el agente del usuario puede cargar en una página. Este encabezado ayuda a evitar ataques de guiones de sitios cruzados.
Para activar el encabezado Content-Security-Policy, selecciona la casilla de comprobación Content-Security-Policy y luego especifica tus Directivas de política s. Para una lista de las directivas disponibles, echa un vistazo a la Guía de encabezado Content-Security-Policy de Mozilla.
Para utilizar el encabezado Content-Security-Policy con las versiones web de los correos electrónicos de marketing, añada la palabra clave "unsafe-inline", como se describe en aquí. De lo contrario, se bloqueará el estilo del correo electrónico.
Para permitir que los <script>elementos se ejecuten solo si contienen un atributo nonce que coincida con el valor de encabezado generado aleatoriamente, selecciona Activar nonce.
Nota: HubSpot genera automáticamente un valor aleatorio en cada solicitud para todos los scripts de HubSpot y todos los scripts alojados en HubSpot.
Los siguientes dominios y directrices deben ser incluidos para garantizar la plena funcionalidad de las páginas alojadas en HubSpot:
Dominios* | Directiva(s) | Herramienta |
*.hsadspixel.net | script-src | Anuncios |
*.hs-analytics.net | script-src | Analíticas |
*.hubapi.com | connect-src | Llamadas a la API (HubDB, envío de formularios) |
js.hscta.net | script-src, img-src, connect-src | Llamadas a la acción (botón) |
js-eu1.hscta.net (Sólo alojamiento de datos europeos) | script-src, img-src, connect-src | Llamadas a la acción (botón) |
no-cache.hubspot.com | img-src | Llamadas a la acción (botón) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Llamadas a la acción (emergente), chatflows |
*.hs-sites.com | frame-src | Llamadas a la acción (emergente) |
*.hs-sites-eu1.com (Sólo alojamiento de datos europeos) | frame-src | Llamadas a la acción (emergente) |
static.hsappstatic.net | script-src | Contenido (menú de rueda dentada, incrustación de video) |
*.usemessages.com | script-src | Conversaciones, chatflows |
*.hs-banner.com | script-src, connect-src | Banner de cookies |
*.hubspotusercontent##.net (## puede ser 00, 10, 20, 30 o 40) | script-src, img-src, style-src | Archivos |
*.hubspot.net | script-src, img-src, frame-src | Archivos |
play.hubspotvideo.com | frame-src | Archivos (videos) |
play-eu1.hubspotvideo.com (Sólo alojamiento de datos europeos) | frame-src | Archivos (videos) |
cdn2.hubspot.net | img-src, style-src | Archivos, hojas de estilo |
Tu dominio conectado a HubSpot | frame-src, style-src, script-src | Archivos, hojas de estilo |
*.hscollectedforms.net | script-src, connect-src | Formularios (formularios externos) |
*.hsleadflows.net | script-src | Formularios (formularios emergentes) |
*.hsforms.net | script-src, img-src, frame-src | Formularios, encuestas |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formularios, encuestas |
*.hs-scripts.com | script-src | Código de seguimiento de HubSpot |
*.hubspotfeedback.com | script-src | Encuestas |
feedback.hubapi.com | script-src | Encuestas |
feedback-eu1.hubapi.com (Sólo alojamiento de datos europeos) | script-src | Encuestas |
Content-Security-Policy-Report-Only
Activa el encabezado Content-Security-Policy-Report-Only para monitorizar las directivas de políticas. No se aplicarán las directivas de políticas, pero los efectos se monitorizarán, lo que puede ser útil cuando se experimenta con políticas.
Para activar este encabezado, selecciona la casilla de comprobación Content-Security-Policy-Report-Only y luego ingresa tus Directivas de políticas.
Para permitir que los elementos <script> se ejecuten solo si contienen un atributo nonce que coincida con el valor de encabezado generado aleatoriamente, selecciona Encender nonce.
Más información sobre el encabezado Content-Security-Policy-Report-Only.
Referrer-Policy
Activa el encabezado Referrer-Policy para controlar la cantidad de información de referencia que debe incluirse en las solicitudes.
Para activar este encabezado, selecciona la casilla de comprobación Referrer-Policy y luego selecciona Directiva en el menú desplegable.
Para una definición de las directivas disponibles, consulta la Guía Referrer-Policy de Mozilla.
Permissions-Policy
Activa el encabezado Feature-Policy para controlar el uso de las características del navegador en la página, incluyendo contenido del elemento <iframe>.
Para activar este encabezado, selecciona la casilla de comprobación Permissions-Policy y luego introduce tus Directivas. Para ver una lista de las directivas, consulta la Guía Feature-Policy de Mozilla.