Ignorer et passer au contenu principal
Avertissement : cet article est le résultat de la traduction automatique, l'exactitude et la fidélité de la traduction ne sont donc pas garanties. Pour consulter la version originale de cet article, en anglais, cliquez ici.

SSL et sécurité du domaine dans HubSpot

Dernière mise à jour: 26 septembre 2025

Disponible avec le ou les abonnements suivants, sauf mention contraire :

HubSpot fournit automatiquement un certificat SSL SAN standard via Google Trust Services lorsque vous connectez un domaine à votre compte. Le provisioning du SSL standard prend généralement quelques minutes mais peut prendre jusqu'à quatre heures.

Si vous avez acheté le module complémentaire SSL personnalisé, vous pouvez télécharger des certificats SSL personnalisés sur HubSpot. Pour chaque domaine connecté, vous pouvez également configurer des paramètres de sécurité, tels que les versions TLS et les en-têtes de sécurité.

Veuillez noter : si vous rencontrez des erreurs pendant le processus de provisionnement de SSL, apprenez-en plus sur troubleshooting SSL certificate errors.

SSL

Le protocole SSL standard SAN fourni via HubSpot est gratuit et renouvelle automatiquement le certificat 30 jours avant son expiration. Pour renouveler le certificat :

  • Vous devez être client HubSpot.
  • Le CNAME de votre domaine redirige vers le serveur sécurisé configuré lors du processus initial.
Si vous préférez utiliser un fournisseur ou un type de certificat différent, vous pouvez ajouter des certificats SSL personnalisés à votre compte en achetant le module complémentaire SSL personnalisé. Vous ne pouvez pas utiliser un certificat SSL préexistant, car il pourrait compromettre la sécurité du certificat.
 
Remarque :
  • Google Trust Services est l'autorité de certification qui fournit un certificat pour votre domaine. Si votre domaine possède un enregistrement d'autorité de certification (CAA), assurez-vous que pki.goog est listé afin que SSL puisse être approvisionné ou renouvelé.
  • Si vous utilisez un certificat SSL Let's Encrypt, il est recommandé de supprimer votre enregistrement CAA, puis d'ajouter un enregistrement CAA pour prendre en charge les services Google Trust. Cela garantira que votre site web fonctionne comme prévu sur les anciens appareils Android. 

Mise en service préalable du certificat SSL

Si vous déplacez votre site existant vers HubSpot, vous pouvez préalablement mettre en service un certificat SSL afin qu'il n'y ait aucune interruption du SSL. Vous pouvez pré-provisionner un certificat SSL pendant que connecte un domaine à HubSpot.

  1. Lors du processus de connexion pour un domaine, une bannière sera visible si votre site possède un certificat SSL existant. Cliquez sur Pré-provisioning et suivez les instructions dans la boîte de dialogue pour démarrer le processus de provisionnement.

Le gestionnaire de domaine s’affiche à l’étape de vérification pour la connexion d’un domaine. Une case est placée autour du texte « pré-provisioning » pour SSL, juste en dessous de la section Afficher mes enregistrements système de noms de domaine (DNS).

  1. Dans une fenêtre ou un onglet de navigateur séparé, connectez-vous au site de votre fournisseur de domaine (par exemple, GoDaddy ou Namecheap).
  2. Sur le site de votre fournisseur de domaine, accédez aux paramètres système de noms de domaine (DNS) où vous gérez vos enregistrements système de noms de domaine (DNS).
  3. Créez de nouveaux enregistrements système de noms de domaine (DNS), conformément à la boîte de dialogue Pré-provisionner votre certificat SSL dans HubSpot. Copiez les valeurs Hôte et Données requises .
  4. Lorsque vous avez terminé, cliquez sur Vérifier dans la boîte de dialogue Pré-provisionner votre certificat SSL . Les modifications apportées au processus peuvent prendre jusqu'à quatre heures. Si vous recevez une erreur lorsque vous cliquez sur Vérifier, attendez quelques minutes, puis cliquez sur Vérifier pour effectuer une nouvelle vérification.

Veuillez noter : si vous utilisez Network Solutions, Namecheap, ou GoDaddy, vous n'avez pas besoin de copier le domaine racine. Votre fournisseur ajoutera un domaine racine à la fin de l'enregistrement DNS automatiquement.

  1. Une fois que votre certificat a été correctement mis en service, une bannière de confirmation apparaîtra sur l’écran de connexion du domaine. Vous pourrez ensuite continuer à connecter votre domaine.

Créer une fiche d'informations de validation de contrôle de domaine (DCV)

Si vous constatez une erreur dans les paramètres de votre domaine indiquant que « Les domaines proxy inversés nécessitent votre intervention pour éviter les interruptions sur le site web », il est recommandé d'ajouter une fiche d'informations de validation de contrôle de domaine (DCV) pour maintenir votre certificat SSL à jour. 

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Pour chaque domaine avec un libellé Action requise, cliquez sur le menu déroulant Actions et sélectionnez Afficher les enregistrements système de noms de domaine).
  4. Dans une fenêtre ou un onglet de navigateur séparé, connectez-vous au site de votre fournisseur de domaine et accédez à vos enregistrements système de noms de domaine (DNS). Découvrez-en davantage sur la configuration du système de noms de domaine (DNS) pour les fournisseurs les plus courants
  5. Sur le site de votre fournisseur de domaine, accédez aux paramètres système de noms de domaine (DNS) où vous gérez vos enregistrements système de noms de domaine (DNS).
  6. Créez de nouveaux enregistrements système de noms de domaine (DNS), selon la boîte de dialogue dans HubSpot. Copiez les valeurs de l’enregistrement DCV et collez-les dans le nouvel enregistrement sur le site de votre fournisseur de domaine dans les paramètres système de noms de domaine (DNS).
  7. Lorsque vous ajoutez une nouvelle fiche d'informations DCV à votre compte système de noms de domaine(DNS), la mise à jour des modifications du système de noms de domaine) peut prendre jusqu'à 24 heures.

Paramètres de sécurité du domaine

Vous pouvez personnaliser les paramètres de sécurité pour chaque sous-domaine connecté à HubSpot. Les paramètres de sécurité comprennent le protocole de votre site web (HTTP/HTTPS), la version TLS et les en-têtes de sécurité de votre site web.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.

Dans les paramètres de domaine, une flèche pointe vers le menu déroulant Actions d’un domaine.

Protocole HTTPS

Vous pouvez exiger que toutes les pages de votre site soient chargées de manière sécurisée via HTTPS. Une fois que ce paramètre est activé, le contenu chargé sur le protocole HTTP, comme les images et les feuilles de style, ne se chargera pas sur votre site. Le contenu chargé sur le protocole HTTP sur un site HTTPS est appelé contenu mixte. Apprenez à résoudre les erreurs de contenu mixte sur votre page.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, sélectionnez la case à cocher Exiger HTTPS pour exiger que toutes les pages du domaine soient chargées de manière sécurisée via HTTPS au lieu de HTTP.
  5. Lorsque vous avez terminé, cliquez sur Enregistrer.
Dans le gestionnaire de domaine, le panneau de droite pour les paramètres de sécurité du domaine s’affiche. Un cadre est placé autour de la case à cocher Exiger HTTPS.

Version TLS

Par défaut, les serveurs HubSpot acceptent les connexions utilisant TLS 1.0 et versions ultérieures. Les connexions utilisant une version TLS inférieure à la configuration minimum échoueront.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur le menu déroulant Version TLS et sélectionnez une option.
  5. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans le gestionnaire de domaine, le panneau de droite pour les paramètres de sécurité du domaine s’affiche. Une flèche pointe vers le menu déroulant TLS pour sélectionner une option.

En-têtes de sécurité

Vous pouvez configurer la sécurité de votre domaine et activer les en-têtes de sécurité pour chaque domaine.

HTTP Strict Transport Security (HSTS)

Vous pouvez ajouter une couche de sécurité supplémentaire à votre site web en activant le HTTP Strict Transport Security (HSTS). HSTS demande aux navigateurs de convertir toutes les requêtes HTTP en requêtes HTTPS. L'activation de HSTS ajoute l'en-tête HSTS aux réponses aux requêtes envoyées aux URL du sous-domaine. Découvrez-en davantage sur l’en-tête HSTF.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour activer HSTS, sélectionnez la case à cocher HTTP Strict Transport Security (HSTS). 
    • Pour modifier la durée pendant laquelle les navigateurs doivent convertir les requêtes HTTP en requêtes HTTPS, cliquez sur le menu déroulant Durée (age-max) et sélectionnez une durée.
    • Pour inclure la directive de pré-chargement dans l'en-tête HSTS du domaine, sélectionnez la case à cocher Activer le pré-chargement. Découvrez-en davantage sur le pré-chargement HSTS.
    • Pour inclure l’en-tête HSTS dans tous les sous-domaines sous le domaine sélectionné, sélectionnez la case à cocher Inclure les sous-domaines . Par exemple, si HSTS est activé pour www.exemplesiteweb.com et que la case Inclure les sous-domaines est sélectionnée, HSTS sera également activé pour cool.www.exemplesiteweb.comwww.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans l’onglet En-têtes de sécurité, une case est placée autour de la case à cocher HTTP Strict Transport Security (HSTS). Une flèche pointe vers le menu déroulant Durée (age-max). Suivi de deux cases à cocher entourées de cases placées autour d’elles pour les options Activer le pré-chargement et Inclure les sous-domaines.

Paramètres de sécurité supplémentaires pour le domaine (Content Hub uniquement)

Si vous avez un compte Content Hub Starter, Professional, ou Entreprise , vous pouvez activer les paramètres de sécurité supplémentaires ci-dessous.

X-Frame-Options

Vous pouvez activer l’en-tête de réponse X-Frame-Options pour indiquer si un navigateur peut afficher une page dans <frame>des balises , <iframe>, <embed>ou <object> html. Découvrez-en davantage sur l’en-tête X-Frame-Options.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour activer X-Frame-Options, cochez la case X-Frame-Options, puis cliquez sur le menu déroulant Directive pour sélectionner une option :
    • Pour empêcher les pages de votre domaine de se charger sur n'importe quelle page dans les balises ci-dessus, sélectionnez deny.
    • Pour autoriser les pages de votre domaine à se charger dans les balises ci-dessus uniquement dans votre domaine, sélectionnez sameorigin.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.
Dans l’onglet En-têtes de sécurité, une zone est placée autour de la case à cocher X-Frame-Options. Une flèche pointe vers le menu déroulant Directive pour sélectionner une option (par exemple, refuser ou sameorigin).

X-XSS-Protection

Vous pouvez activer l’en-tête X-XSS-Protection pour ajouter une couche de sécurité pour les utilisateurs de navigateurs web plus anciens. L’activation de la protection X-XSS empêche le chargement des pages en cas de détection de script inter-site. Découvrez-en davantage sur l’en-tête X-XSS-Protection.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour activer l’en-tête X-XSS-Protection, cochez la case X-XSS-Protection , puis cliquez sur le menu déroulant Paramètres XSS et sélectionnez une option :
    • Pour désactiver le filtre XSS, sélectionnez 0.
    • Pour supprimer les parties non sécurisées d’une page en cas de détection d’une attaque de script inter-site, sélectionnez 1.
    • Pour empêcher l’affichage d’une page en cas de détection d’une attaque, sélectionnez 1 ; mode=block.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.
Dans l’onglet En-têtes de sécurité, une case est placée autour de la case à cocher X-XSS-Protection. Une flèche pointe vers le menu déroulant paramètre XSS pour sélectionner une option (par exemple, 0, 1 ou 1 ; mode=block).

X-Content-Type-Options

Vous pouvez activer l’en-tête X-Content-Type-Options pour désinscrire des pages de la détection de types MIME. L'activation de ce paramètre indique au navigateur de suivre les types MIME publiés dans les en-têtes Content-Type. Découvrez-en davantage sur l’en-tête X-Content-Type-Options.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour désactiver les pages de la détection de types MIME, cochez la case X-Content-Type-Options .
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Content-Security-Policy

Vous pouvez activer l’en-tête Content-Security-Policy pour contrôler les ressources que l’agent utilisateur peut charger sur une page. Cet en-tête permet d'éviter les attaques de script inter-site.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour contrôler la ressource que l’agent utilisateur peut charger, sélectionnez la case à cocher Content-Security-Policy :
    • Saisissez des directives dans le champ Directives de politique .
    • Pour utiliser l’en-tête Content-Security-Policy avec les versions web des e-mails marketing, saisissez unsafe-inline comme mot-clé décrit ici. Dans le cas contraire, le stylisme de l'e-mail sera bloqué. 
    • Pour autoriser <script> l’exécution d’éléments uniquement s’ils contiennent un attribut nonce correspondant à la valeur d’en-tête générée aléatoirement, sélectionnez la case à cocher Activer le nonce.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans l’onglet En-têtes de sécurité, une case à cocher est placée autour de la case à cocher Content-Security-Policy. Une flèche pointe vers le champ de saisie de texte Directives de politique. Suivi ci-dessous par une case placée autour de la case à cocher Activer le nonce.

Remarque : HubSpot génère automatiquement une valeur aléatoire à chaque demande pour tous les scripts provenant de HubSpot et tous les scripts hébergés sur HubSpot .

Les domaines suivants doivent être inclus pour garantir une fonctionnalité complète sur les pages hébergées par HubSpot :

Domaine Directive(s) Outil
*.hsadspixel.net script-src Publicités
*.hs-analytics.net script-src  Analytics
*.hubapi.com connect-src Appels d'API (HubDB, soumissions de formulaires)
js.hscta.net script-src, img-src, connect-src Call to Action (bouton)
js-eu1.hscta.net (Hébergement de données européennes uniquement) script-src, img-src, connect-src Call to Action (bouton)
no-cache.hubspot.com img-src Call to Action (bouton)
*.hubspot.com script-src, img-src, connect-src, frame-src Calls-to-action (fenêtre contextuelle), chatflows
*.hs-sites.com frame-src Calls-to-action (fenêtre contextuelle)
*.hs-sites-eu1.com (Hébergement de données européennes uniquement) frame-src Calls-to-action (fenêtre contextuelle)
static.hsappstatic.net script-src Contenu (menu de logo, intégration de vidéos)
*.usemessages.com script-src Conversations, chatflows
*.hs-banner.com script-src, connect-src Bannière de cookies
*.hubspotusercontent##.net (## peut être remplacé par 00, 10, 20, 30 ou 40) script-src, img-src, style-src des fichiers,
*.hubspot.net script-src, img-src, frame-src des fichiers,
play.hubspotvideo.com frame-src Fichiers (vidéos)
play-eu1.hubspotvideo.com (Hébergement de données européennes uniquement) frame-src Fichiers (vidéos)
cdn2.hubspot.net img-src, style-src Fichiers, feuilles de style
Votre domaine connecté à HubSpot frame-src, style-src, script-src Fichiers, feuilles de style
*.hscollectedforms.net script-src, connect-src Formulaires (externes à HubSpot)
*.hsleadflows.net script-src Formulaires (contextuels)
*.hsforms.net script-src, img-src, frame-src Formulaires, enquêtes
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Formulaires, enquêtes
*.hs-scripts.com script-src Code de suivi HubSpot
*.hubspotfeedback.com script-src Les enquêtes
feedback.hubapi.com script-src Les enquêtes
feedback-eu1.hubapi.com (Hébergement de données européennes uniquement) script-src Les enquêtes

Content-Security-Policy-Report-Only

Vous pouvez activer l’en-tête Content-Security-Policy-Report-Only pour surveiller les directives de politique. Les directives de politique ne seront pas appliquées, mais les effets seront surveillés, ce qui peut s’avérer utile dans le cadre des tests de politiques. Découvrez-en davantage sur l’en-tête Content-Security-Policy-Report-Only.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour activer cet en-tête, cochez la case Content-Security-Policy-Report-Only et saisissez vos directives de politique.
  6. Pour autoriser <script> l’exécution d’éléments uniquement s’ils contiennent un attribut nonce correspondant à la valeur d’en-tête générée aléatoirement, sélectionnez la case à cocher Activer le nonce .
  7. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans l’onglet En-têtes de sécurité, une case est placée autour de la case à cocher Content-Security-Policy-Report-Only. Une flèche pointe vers le champ de saisie de texte Directives de politique. Suivi ci-dessous par une case placée autour de la case à cocher Activer le nonce.

Referrer-Policy

Vous pouvez activer l’en-tête Referrer-Policy pour contrôler la quantité d’informations de référent à inclure dans les demandes. Pour obtenir une définition des directives disponibles, consultez le guide de l’en-tête Referrer-Policy de Mozilla.

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Afinde contrôler la quantité d’informations de référent à inclure dans les demandes, cochez la case Referrer-Policy, puis cliquez sur le menu déroulant Directive et sélectionnez une option.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans l’onglet En-têtes de sécurité, une case est placée autour de la case à cocher Referrer-Policy. Une flèche pointe vers le menu déroulant Directive pour sélectionner une option.

Permissions-Policy

Vous pouvez activer l’en-tête Permissions-Policy pour contrôler l’utilisation des fonctionnalités du navigateur sur la page, y compris <iframe> le contenu de l’élément .

  1. Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  2. Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
  3. Cliquez sur le menu déroulant Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
  4. Dans le panneau latéral droit, cliquez sur l’onglet En-têtes de sécurité .
  5. Pour contrôler l’utilisation des fonctionnalités du navigateur, cochez la case Permissions-Policy , puis saisissez vos directives. Pour obtenir la liste des directives, consultez le guide de l’en-tête Permissions-Policy de Mozilla.
  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Dans l’onglet En-têtes de sécurité, une case est placée autour de la case à cocher Permissions-Policy. Une flèche pointe vers le champ de saisie de texte Directives.

Cet article vous a-t-il été utile ?
Ce formulaire n'est utilisé que pour recueillir du feedback sur la documentation. Découvrez comment obtenir de l'aide sur HubSpot.