SSL et sécurité du domaine dans HubSpot
Dernière mise à jour: octobre 16, 2024
Disponible avec le ou les abonnements suivants, sauf mention contraire :
Tous les produits et les abonnements |
HubSpot fournit automatiquement un certificat SSL SAN standard via Google Trust Services lorsque vous connectez un domaine à votre compte. Si quelques minutes sont généralement nécessaires, cela peut prendre jusqu'à quatre heures.
Si vous avez acheté le module complémentaire SSL personnalisé, vous pouvez télécharger des certificats SSL personnalisés sur HubSpot. Pour chaque domaine connecté, vous pouvez également configurer des paramètres de sécurité, tels que la version TLS et les titres de sécurité.
Veuillez noter : si vous rencontrez des erreurs pendant le processus de provisionnement de SSL, apprenez-en plus sur troubleshooting SSL certificate errors.
SSL
Le protocole SSL standard SAN fourni via HubSpot est gratuit et renouvelle automatiquement le certificat 30 jours avant son expiration. Pour renouveler le certificat :
- Vous devez être client HubSpot.
- Le CNAME de votre domaine redirige vers le serveur sécurisé configuré lors du processus initial.
- Google Trust Services est l'autorité de certification qui fournit un certificat pour votre domaine. Si votre domaine possède un enregistrement d'autorité de certification (CAA), assurez-vous que pki.goog est listé afin que SSL puisse être approvisionné ou renouvelé.
- Si vous utilisez un certificat SSL Let's Encrypt, il est recommandé de supprimer votre enregistrement CAA, puis d'ajouter un enregistrement CAA pour prendre en charge les services Google Trust. Cela garantira que votre site web fonctionne comme prévu sur les anciens appareils Android.
Mise en service préalable du certificat SSL
Si vous déplacez votre site existant vers HubSpot, vous pouvez préalablement mettre en service un certificat SSL afin qu'il n'y ait aucune interruption du SSL. Vous pouvez pré-provisionner un certificat SSL pendant que connecte un domaine à HubSpot.
Pour mettre préalablement en service un certificat SSL :
- Sur la page de configuration DNS du processus de connexion du domaine, une bannière apparaîtra si votre site possède un certificat SSL existant. Cliquez sur Cliquez ici pour commencer le processus de mise en service.
- Suivez les instructions dans la boîte de dialogue :
- Connectez-vous à votre fournisseur DNS, tel que GoDaddy ou Namecheap.
- Dans votre fournisseur DNS, accédez à l'écran Paramètres DNS où vous gérez vos enregistrements DNS.
- Créez des enregistrements DNS selon la boîte de dialogue à l'aide des valeurs Hôte (nom) et Valeur fournies dans la boîte de dialogue.
Veuillez noter : si vous utilisez Network Solutions, Namecheap, ou GoDaddy, vous n'avez pas besoin de copier le domaine racine. Votre fournisseur ajoutera un domaine racine à la fin de l'enregistrement DNS automatiquement.
- Cliquez sur Vérifier. Les modifications apportées au processus peuvent prendre jusqu'à quatre heures. Si vous recevez une erreur lorsque vous cliquez sur Vérifier, attendez quelques minutes, puis cliquez sur Vérifier pour effectuer une nouvelle vérification.
Une fois que votre certificat a été mis en service, une bannière de confirmation apparaîtra dans l'écran de connexion du domaine. Vous pourrez ensuite continuer à connecter votre domaine.
Créer une fiche d'informations de validation de contrôle de domaine (DCV)
Si vous constatez une erreur dans les paramètres de votre domaine indiquant que « Les domaines proxy inversés nécessitent votre intervention pour éviter les interruptions sur le site web », il est recommandé d'ajouter une fiche d'informations de validation de contrôle de domaine (DCV) pour maintenir votre certificat SSL à jour.
Vous pouvez ajouter une fiche d'informations DCV en effectuant les étapes suivantes :
- Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
- Pour chaque domaine présentant le libellé Action requise, cliquez sur le menu déroulant Modifier et sélectionnez Afficher les enregistrements DNS.
- Dans une autre fenêtre, connectez-vous à votre fournisseur DNS et accédez à vos enregistrements DNS. Pour obtenir des instructions détaillées sur la modification de vos enregistrements DNS pour les fournisseurs DNS les plus courants, consultez le guide de configuration DNS .
- Dans HubSpot, copiez les valeurs de l'enregistrement DCV dans la boîte de dialogue, puis collez-les dans un nouvel enregistrement dans le compte de votre fournisseur DNS. La mise à jour des modifications DNS peut prendre jusqu'à 24 heures.
Paramètres de sécurité du domaine
Vous pouvez personnaliser les paramètres de sécurité pour chaque sous-domaine connecté à HubSpot. Les paramètres de sécurité comprennent le protocole de votre site web (HTTP/HTTPS), la version TLS et les en-têtes de sécurité de votre site web.
Pour mettre à jour les paramètres de sécurité du domaine :
- Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Contenu > Domaines et URL.
- A côté du domaine, cliquez sur le menu Actions et sélectionnez Mettre à jour les paramètres de sécurité du domaine.
Protocole HTTPS
Vous pouvez exiger que toutes les pages de votre site soient chargées de manière sécurisée via HTTPS. Une fois que ce paramètre est activé, le contenu chargé sur le protocole HTTP, comme les images et les feuilles de style, ne se chargera pas sur votre site. Le contenu chargé sur le protocole HTTP sur un site HTTPS est appelé contenu mixte. Apprenez à résoudre les erreurs de contenu mixte sur votre page.
Pour activer le protocole HTTPS, sélectionnez la case à cocher Exiger HTTPS.
Version TLS
Par défaut, les serveurs HubSpot acceptent les connexions utilisant TLS 1.0 et versions ultérieures.
Pour modifier les versions TLS acceptées, cliquez sur le menu déroulant Version TLS et sélectionnez la version TLS la plus ancienne que vous souhaitez accepter. Les connexions utilisant une version TLS inférieure à la configuration minimum échoueront.
En-têtes de sécurité
Vous pouvez configurer la sécurité de votre domaine et activer les en-têtes de sécurité pour chaque domaine.
HTTP Strict Transport Security (HSTS)
Vous pouvez ajouter une couche de sécurité supplémentaire à votre site web en activant le HTTP Strict Transport Security (HSTS). HSTS demande aux navigateurs de convertir toutes les requêtes HTTP en requêtes HTTPS. L'activation de HSTS ajoute l'en-tête HSTS aux réponses aux requêtes envoyées aux URL du sous-domaine.
- Pour activer HSTS, cliquez sur l'onglet En-têtes de sécurité, puis sélectionnez la case à cocher HTTP Strict Transport Security (HSTS).
- Pour définir la durée pendant laquelle les navigateurs doivent convertir les requêtes HTTP en requêtes HTTPS, cliquez sur le menu déroulant Durée (age-max) et sélectionnez une durée.
- Pour inclure la directive de pré-chargement dans l'en-tête HSTS du domaine, sélectionnez la case à cocher Activer le pré-chargement. Découvrez-en davantage sur le pré-chargement HSTS.
- Pour inclure l'en-tête HSTS dans tous les sous-domaines sous le sous-domaine sélectionné, sélectionnez la case à cocher Inclure les sous-domaines. Par exemple, si HSTS est activé pour www.exemplesiteweb.com et que la case Inclure les sous-domaines est sélectionnée, HSTS sera également activé pour cool.www.exemplesiteweb.comwww.
Découvrez-en davantage sur l'en-tête HSTF.
Paramètres de sécurité supplémentaires pour le domaine (Content Hub uniquement)
Si vous avez un compte Content Hub Starter, Professional, ou Entreprise , vous pouvez activer les paramètres de sécurité supplémentaires ci-dessous.
X-Frame-Options
Activez l'en-tête de réponse X-Frame-Options pour indiquer si un navigateur peut afficher une page dans des balises <frame>, <iframe>, <embed> ou <object> HTML.
Pour activer X-Frame-Options, cochez la case X-Frame-Options, puis sélectionnez une Directive dans le menu déroulant :
- Pour empêcher les pages de votre domaine de se charger sur n'importe quelle page dans les balises ci-dessus, sélectionnez deny.
- Pour autoriser les pages de votre domaine à se charger dans les balises ci-dessus uniquement dans votre domaine, sélectionnez sameorigin.
Découvrez-en davantage sur l'en-tête X-Frame-Options.
X-XSS-Protection
Activez l'en-tête X-XSS-Protection à titre de sécurité supplémentaire pour les utilisateurs de navigateurs web plus anciens, afin d'éviter le chargement de pages en cas de détection de script inter-site.
Pour activer cet en-tête, cochez la case X-XSS-Protection, puis sélectionnez un paramètre XSS dans le menu déroulant :
- Pour désactiver le filtre XSS, sélectionnez 0.
- Pour supprimer les parties non sécurisées d'une page en cas de détection d'une attaque de script inter-site, sélectionnez 1.
- Pour empêcher l'affichage d'une page en cas de détection d'une attaque, sélectionnez 1; mode=block.
Découvrez-en davantage sur l'en-tête X-XSS-Protection.
X-Content-Type-Options
Activez l'en-tête X-Content-Type-Options pour empêcher les pages de de renifler les types MIME. L'activation de ce paramètre indique au navigateur de suivre les types MIME publiés dans les en-têtes Content-Type.
Découvrez-en davantage sur l'en-tête X-Content-Type-Options.
Content-Security-Policy
Activez l'en-tête Content-Security-Policy pour contrôler les ressources que l'agent utilisateur peut charger sur une page. Cet en-tête permet d'éviter les attaques de script inter-site.
Pour activer l'en-tête Content-Security-Policy, cochez la case Content-Security-Policy, puis précisez vos Directives de politique. Pour obtenir la liste des directives disponibles, consultez le guide de l'en-tête Content-Security-Policy de Mozilla.
Pour utiliser l'en-tête Content-Security-Policy avec les versions web des e-mails marketing, ajoutez le mot-clé "unsafe-inline", comme décrit ici. Dans le cas contraire, le stylisme de l'e-mail sera bloqué.
Pour autoriser l'exécution d'éléments <script> uniquement s'ils contiennent un attribut nonce correspondant à la valeur d'en-tête générée aléatoirement, sélectionnez Activer le nonce.
Remarque : HubSpot génère automatiquement une valeur aléatoire à chaque demande pour tous les scripts provenant de HubSpot et tous les scripts hébergés sur HubSpot .
Les domaines suivants doivent être inclus pour garantir une fonctionnalité complète sur les pages hébergées par HubSpot :
Domaine | Directive(s) | Outil |
*.hsadspixel.net | script-src | Publicités |
*.hs-analytics.net | script-src | Analytics |
*.hubapi.com | connect-src | Appels d'API (HubDB, soumissions de formulaires) |
js.hscta.net | script-src, img-src, connect-src | Call to Action (bouton) |
js-eu1.hscta.net (Hébergement de données européennes uniquement) | script-src, img-src, connect-src | Call to Action (bouton) |
no-cache.hubspot.com | img-src | Call to Action (bouton) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Calls-to-action (fenêtre contextuelle), chatflows |
*.hs-sites.com | frame-src | Calls-to-action (fenêtre contextuelle) |
*.hs-sites-eu1.com (Hébergement de données européennes uniquement) | frame-src | Calls-to-action (fenêtre contextuelle) |
static.hsappstatic.net | script-src | Contenu (menu de logo, intégration de vidéos) |
*.usemessages.com | script-src | Conversations, chatflows |
*.hs-banner.com | script-src, connect-src | Bannière de cookies |
*.hubspotusercontent##.net (## peut être remplacé par 00, 10, 20, 30 ou 40) | script-src, img-src, style-src | Fichiers |
*.hubspot.net | script-src, img-src, frame-src | Fichiers |
play.hubspotvideo.com | frame-src | Fichiers (vidéos) |
play-eu1.hubspotvideo.com (Hébergement de données européennes uniquement) | frame-src | Fichiers (vidéos) |
cdn2.hubspot.net | img-src, style-src | Fichiers, feuilles de style |
Votre domaine connecté à HubSpot | frame-src, style-src, script-src | Fichiers, feuilles de style |
*.hscollectedforms.net | script-src, connect-src | Formulaires (externes à HubSpot) |
*.hsleadflows.net | script-src | Formulaires (contextuels) |
*.hsforms.net | script-src, img-src, frame-src | Formulaires, enquêtes |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formulaires, enquêtes |
*.hs-scripts.com | script-src | Code de suivi HubSpot |
*.hubspotfeedback.com | script-src | Les enquêtes |
feedback.hubapi.com | script-src | Les enquêtes |
feedback-eu1.hubapi.com (Hébergement de données européennes uniquement) | script-src | Les enquêtes |
Content-Security-Policy-Report-Only
Activez l'en-tête Content-Security-Policy-Report-Only pour surveiller les directives de politique. Les directives de politique ne seront pas appliquées, mais les effets seront surveillés, ce qui peut s'avérer utile dans le cadre des tests de politiques.
Pour activer cet en-tête, cochez la case Content-Security-Policy-Report-Only et saisissez vos directives de politique.
Pour autoriser l'exécution d'éléments <script> uniquement s'ils contiennent un attribut nonce correspondant à la valeur d'en-tête générée aléatoirement, sélectionnez Activer le nonce.
Découvrez-en davantage sur l'en-tête Content-Security-Policy-Report-Only.
Referrer-Policy
Activez l'en-tête Referrer-Policy pour contrôler la quantité d'informations de référent à inclure dans les demandes.
Pour activer cet en-tête, cochez la case Referrer-Policy et sélectionnez une directive dans le menu déroulant.
Pour obtenir une définition des directives disponibles, consultez le guide de l'en-tête Referrer-Policy de Mozilla.Permissions-Policy
Activez l'en-tête Permissions-Policy pour contrôler l'utilisation des fonctionnalités du navigateur sur la page, y compris le contenu de l'élément <iframe>.
Pour activer cet en-tête, cochez la case Permissions-Policy, puis saisissez vos directives. Pour obtenir la liste des directives, consultez le guide de l'en-tête Permissions-Policy de Mozilla.