Avertissement : cet article est le résultat de la traduction automatique, l'exactitude et la fidélité de la traduction ne sont donc pas garanties. Pour consulter la version originale de cet article, en anglais, cliquez ici.
Domains & URLs

SSL et sécurité du domaine dans HubSpot

Dernière mise à jour: août 19, 2020

Disponible avec :

Hub Marketing Starter, Professional, Enterprise
Hub CMS Professional, Enterprise
Ancienne version Hub Marketing Basique

Lorsque vous connectez un domaine à HubSpot, le protocole SSL sera automatiquement mis en service pour ce domaine. Si quelques minutes sont généralement nécessaires, cela peut prendre jusqu'à quatre heures.

Remarque : Si vous rencontrez des erreurs lors du processus de mise en service du protocole SSL, consultez notre guide de dépannage des erreurs de certificat SSL.

SSL

Le protocole SSL standard fourni via HubSpot est gratuit et renouvelle automatiquement le certificat 30 jours avant la date d'expiration. Pour renouveler le certificat, les deux conditions ci-dessous doivent être vérifiées :

  • Vous êtes toujours un client HubSpot.
  • Le CNAME de votre domaine redirige toujours vers le serveur sécurisé configuré lors du processus initial.
Vous pouvez également acheter un certificat SSL dédié ou des certificats tiers personnalisés via HubSpot au lieu du certificat SAN standard. Pour ce faire, contactez votre Customer Success Manager. Vous ne pouvez pas utiliser un certificat SSL préexistant, car il pourrait compromettre la sécurité du certificat. HubSpot doit générer la demande de signature de certificat pour une utilisation avec HubSpot.
 
Si vous utilisez un certificat personnalisé, un membre de l'équipe HubSpot vous contactera sous 14 à 30 jours avant l'échéance pour discuter du renouvellement et des mesures techniques nécessaires.

Remarque : DigiCert est l'autorité de certification qui fournit un certificat pour votre domaine. Si votre domaine dispose d'une autorisation d'une autorité de certification, assurez-vous que digicert.com figure dans la liste afin que le protocole SSL puisse être mis en service ou renouvelé.

Mise en service préalable du certificat SSL

La vérification de votre domaine permet à HubSpot de fournir le SSL avant de connecter le domaine. Ainsi, il n'y aura pas d'interruption liée au SSL lorsque vous modifiez le DNS pour que votre domaine redirige vers HubSpot. Pour vérifier la propriété d'un domaine durant la connexion du domaine :

  • À l'étape 1 de la phase Vérifier les URL, cliquez sur Cliquez ici.

click-link-to-confirm-you-own-this-domain

  • Dans la boîte de dialogue, cliquez sur Envoyer un e-mail de vérification. Un e-mail sera envoyé à l'adresse e-mail enregistrée avec le domaine, tel qu'indiqué dans who.is.

send-verification-email

  • Cliquez sur le lien contenu dans l'e-mail.

Si vous ne recevez pas d'e-mail de validation :

  • Vérifiez qu'un e-mail provenant de l'adresse <support@certvaliate.cloudflatre.com> n'a pas atterri dans les dossiers spam/courrier indésirable de votre boîte de réception.
  • Vérifiez l'adresse e-mail enregistrée avec votre domaine. Assurez-vous de vérifier la boîte de réception de cette messagerie.
  • Ajoutez votre adresse e-mail à who.is.

Si, après avoir vérifié les dossiers de spam/courrier indésirable, vous ne parvenez pas à ajouter l'adresse e-mail à who.is, contactez l'équipe de support HubSpot pour en savoir plus sur les méthodes alternatives de mise en service.

Paramètres de sécurité du domaine

Vous pouvez personnaliser les paramètres de sécurité pour chaque sous-domaine connecté à HubSpot. Les paramètres de sécurité comprennent le protocole de votre site web (HTTP/HTTPS), la version TLS et les en-têtes de sécurité de votre site web.

Pour mettre à jour les paramètres de sécurité du domaine :

  • Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans l'angle supérieur droit.
  • Dans le menu latéral de gauche, sélectionnez Domaines et URL.
  • Cliquez sur Modifier à côté du domaine, puis sélectionnez Mettre à jour les paramètres de sécurité du domaine.
update-domain-security-settings

Protocole HTTPS

Par défaut, HubSpot autorise le protocole HTTPS une fois que le SSL a été mis en service. Les visiteurs de votre site seront automatiquement redirigés vers la version HTTPS sécurisée de votre site, plutôt que sur la version HTTP.

Une fois que cela est activé, le contenu chargé sur le protocole HTTP, comme les images et les feuilles de style, ne chargera pas sur votre site. Le contenu chargé sur le protocole HTTP sur un site HTTPS est appelé contenu mixte. Découvrez comment résoudre les erreurs de contenu mixte sur votre page.

Pour désactiver le protocole HTTPS, décochez la case Exiger HTTPS.


require-https


Version TLS

Par défaut, les serveurs HubSpot acceptent les connexions utilisant TLS 1.0 et versions ultérieures.

Pour modifier les versions TLS acceptées, cliquez sur le menu déroulant Version TLS et sélectionnez la version TLS la plus ancienne que vous souhaitez accepter. Les connexions utilisant une version TLS inférieure à la configuration minimum échoueront.

TLS-version

En-têtes de sécurité

Configurer la sécurité de votre domaine en activant les paramètres d'en-tête de sécurité par domaine.

HTTP Strict Transport Security (HSTS)

Vous pouvez ajouter une couche de sécurité supplémentaire à votre site web en activant le HTTP Strict Transport Security (HSTS). HSTS demande aux navigateurs de convertir toutes les requêtes HTTP en requêtes HTTPS. L'activation de HSTS ajoute l'en-tête HSTS aux réponses aux requêtes envoyées aux URL du sous-domaine.

  • Pour activer HSTS, cliquez sur l'onglet En-têtes de sécurité, puis sélectionnez la case à cocher HTTP Strict Transport Security (HSTS).


security-HSTS-setting

  • Pour définir la durée pendant laquelle les navigateurs doivent convertir les requêtes HTTP en requêtes HTTPS, cliquez sur le menu déroulant Durée (age-max) et sélectionnez une durée.
  • Pour inclure la directive de pré-chargement dans l'en-tête HSTS du domaine, sélectionnez la case à cocher Activer le pré-chargement. Découvrez-en davantage sur le pré-chargement HSTS.
  • Pour inclure l'en-tête HSTS dans tous les sous-domaines sous le sous-domaine sélectionné, sélectionnez la case à cocher Inclure les sous-domaines. Par exemple, si HSTS est activé pour www.exemplesiteweb.com et que la case Inclure les sous-domaines est sélectionnée, HSTS sera également activé pour cool.www.exemplesiteweb.comwww.

En savoir plus sur l'en-tête HSTF.

Autres paramètres de sécurité de domaine (Hub CMS Entreprise uniquement)

Si vous disposez d'un compte Hub CMS Entreprise, vous pouvez activer les paramètres de sécurité supplémentaires ci-dessous.

X-Frame-Options

Activez l'en-tête de réponse X-Frame-Options pour indiquer si un navigateur peut afficher une page dans des balises <frame>, <iframe>, <embed> ou <object> HTML.

Pour activer X-Frame-Options, cochez la case X-Frame-Options, puis sélectionnez une Directive dans le menu déroulant :

  • Pour empêcher les pages de votre domaine de se charger sur n'importe quelle page dans les balises ci-dessus, sélectionnez deny.
  • Pour autoriser les pages de votre domaine à se charger dans les balises ci-dessus uniquement dans votre domaine, sélectionnez sameorigin.

    x-frame-options-setting

En savoir plus sur l'en-tête X-Frame-Options.

X-XSS-Protection

Activez l'en-tête X-XSS-Protection à titre de sécurité supplémentaire pour les utilisateurs de navigateurs web plus anciens, afin d'éviter le chargement de pages en cas de détection de script inter-site.

Pour activer cet en-tête, cochez la case X-XSS-Protection, puis sélectionnez un paramètre XSS dans le menu déroulant :

  •  Pour désactiver le filtre XSS, sélectionnez 0.
  • Pour supprimer les parties non sécurisées d'une page en cas de détection d'une attaque de script inter-site, sélectionnez 1.
  • Pour empêcher l'affichage d'une page en cas de détection d'une attaque, sélectionnez 1; mode=block.

    x-xss-protection-header

En savoir plus sur l'en-tête X-XSS-Protection.

X-Content-Type-Options

Activez l'en-tête 1 pour désinscrire des pages de la détection de types MIME. L'activation de ce paramètre indique au navigateur de suivre les types MIME publiés dans les en-têtes Content-Type. 

x-content-type-options

En savoir plus sur l'en-tête X-Content-Type-Options.

Content-Security-Policy

Activez l'en-tête Content-Security-Policy pour contrôler les ressources que l'agent utilisateur peut charger sur une page. Cet en-tête permet d'éviter les attaques de script inter-site.

Pour activer l'en-tête Content-Security-Policy, cochez la case Content-Security-Policy, puis précisez vos Directives de politique. Pour obtenir la liste des directives disponibles, consultez le guide de l'en-tête Content-Security-Policy de Mozilla.

Pour autoriser l'exécution d'éléments <script> uniquement s'ils contiennent un attribut nonce correspondant à la valeur d'en-tête générée aléatoirement, sélectionnez Activer le nonce


content-security-policy-header

Content-Security-Policy-Report-Only

Activez l'en-tête Content-Security-Policy-Report-Only pour surveiller les directives de politique. Les directives de politique ne seront pas appliquées, mais les effets seront surveillés, ce qui peut s'avérer utile dans le cadre des tests de politiques.

Pour activer cet en-tête, cochez la case Content-Security-Policy-Report-Only et saisissez vos Directives de politique

Pour autoriser l'exécution d'éléments <script> uniquement s'ils contiennent un attribut nonce correspondant à la valeur d'en-tête générée aléatoirement, sélectionnez Activer le nonce

content-security-policy-report-only-header

En savoir plus sur l'en-tête Content-Security-Policy-Report-Only.

Referrer-Policy

Activez l'en-tête Referrer-Policy pour contrôler la quantité d'informations de référent à inclure dans les demandes.

Pour activer cet en-tête, cochez la case Referrer-Policy et sélectionnez une Directive dans le menu déroulant.

referrer-policy-headerPour obtenir une définition des directives disponibles, consultez le guide de l'en-tête Referrer-Policy de Mozilla.

Feature-Policy

Activez l'en-tête Feature-Policy pour contrôler l'utilisation des fonctionnalités du navigateur sur la page, y compris le contenu de l'élément <iframe>.

Pour activer cet en-tête, cochez la case Feature-Policy et saisissez vos Directives. Pour obtenir la liste des directives, consultez le guide de l'en-tête Feature-Policy de Mozilla.

feature-policy-header

 

/fr/cos-general/ssl-and-domain-security-in-hubspot