Salta al contenuto
HubSpot Knowledge base
Nota bene: la traduzione in italiano di questo articolo è fornita solo per comodità. La traduzione viene creata automaticamente tramite un software di traduzione e potrebbe non essere stata revisionata. Pertanto, la versione inglese di questo articolo deve essere considerata come la versione di governo contenente le informazioni più recenti. È possibile accedervi qui.

SSL e sicurezza del dominio in HubSpot

Ultimo aggiornamento: 2 dicembre 2025

Disponibile con uno qualsiasi dei seguenti abbonamenti, tranne dove indicato:

HubSpot fornisce automaticamente un certificato SSL SAN standard tramite Google Trust Services quando colleghi un dominio al tuo account. La fornitura di un certificato SSL standard richiede solitamente pochi minuti, ma può richiedere fino a quattro ore.

Se hai acquistato l'add-on SSL personalizzato, puoi caricare certificati SSL personalizzati su HubSpot. Puoi anche configurare le impostazioni di sicurezza per ogni dominio collegato, come le versioni TLS e le intestazioni di sicurezza.

Nota: se riscontri errori durante il processo di fornitura SSL, scopri di più sulla risoluzione dei problemi relativi agli errori dei certificati SSL.

SSL

Il certificato SSL SAN standard fornito da HubSpot è gratuito e si rinnova automaticamente 30 giorni prima della scadenza. Per rinnovare il certificato:

  • Devi essere un cliente HubSpot.
  • Il tuo dominio CNAME deve puntare al server sicuro configurato nella procedura iniziale.
Se preferisci utilizzare un provider o un tipo di certificato diverso, puoi aggiungere certificati SSL personalizzati al tuo account acquistando l'add-on SSL personalizzato. Non è possibile utilizzare un certificato SSL preesistente, poiché ciò compromette la sicurezza del certificato.
 
Nota:
  • Google Trust Services è l'autorità di certificazione che fornisce un certificato per il tuo dominio. Se il tuo dominio ha un record CAA (Certification Authority Authorization), assicurati che pki.goog sia elencato in modo che SSL possa essere fornito o rinnovato.
  • Se utilizzi un certificato SSL Let's Encrypt, ti consigliamo di rimuovere il tuo record CAA, quindi aggiungere un record CAA per supportare Google Trust Services. Ciò garantirà che il tuo sito web funzioni come previsto sui dispositivi Android meno recenti. 

Pre-provisioning del certificato SSL

Se stai trasferendo il tuo sito esistente su HubSpot, potresti voler preconfigurare un certificato SSL in modo che non ci siano tempi di inattività SSL. Puoi preconfigurare un certificato SSL mentre colleghi un dominio a HubSpot.

  1. Durante il processo di connessione per un dominio, verrà visualizzato un banner se il tuo sito dispone di un certificato SSL esistente. Fai clic su pre-provisioning e segui le istruzioni nella finestra di dialogo per avviare il processo di provisioning.

The domain manager is displayed on the verification step for connecting a domain. A box is placed around the text 'pre-provisioning' for SSL, just below the View my DNS records section.

  1. In una finestra o scheda separata del browser, accedi al sito del tuo provider di domini (ad esempio, GoDaddy o Namecheap).
  2. Sul sito del tuo provider di domini, vai alle impostazioni DNSdove gestisci i tuoi record DNS.
  3. Crea nuovi record DNS, in base alla finestra di dialogo Pre-provisioning del certificato SSLin HubSpot. Copia i valoriHost e Dati richiesti.
  4. Al termine, clicca su Verificanella finestra di dialogo Pre-provisioning del certificato SSL. L'elaborazione delle modifiche può richiedere fino a quattro ore. Se ricevi un errore quando clicchi su Verifica, attendi qualche minuto, quindi clicca nuovamente su Verifica per riprovare.

Nota: se utilizzi Network Solutions, Namecheap o GoDaddy, non è necessario copiare il dominio principale. Il tuo provider aggiungerà automaticamente un dominio principale alla fine del record DNS.

  1. Dopo che il certificato è stato preconfigurato con successo, verrà visualizzato un banner di conferma nella schermata di connessione del dominio. A questo punto puoi continuare a connettere il tuo dominio.

Configura un record di convalida del controllo del dominio (DCV)

Se nelle impostazioni del dominio viene visualizzato un errore che indica che "I domini proxy inversi richiedono un'azione da parte tua per evitare interruzioni del sito web", ti consigliamo di aggiungere un record di convalida del controllo del dominio (DCV) per mantenere aggiornato il tuo certificato SSL. 

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Per ogni dominio conl'etichetta Azione richiesta, fai clic sul menua discesa Azioni e selezionaMostra record DNS.
  4. In una finestra o scheda separata del browser, accedi al sito del tuo provider di domini e accedi ai tuoi record DNS. Scopri di più sulla configurazione DNS per i provider più comuni
  5. Sul sito del tuo provider di domini, vai alle impostazioni DNSdove gestisci i tuoi record DNS.
  6. Crea nuovi record DNS, seguendo le istruzioni riportate nella finestra di dialogo in HubSpot. Copia i valori del record DCV e incollali nel nuovo record sul sito del tuo provider di dominio nelle impostazioni DNS.
  7. Quando aggiungi un nuovo record DCV al tuo account DNS, possono essere necessarie fino a 24 ore prima che le modifiche al DNS siano completate.

Impostazioni di sicurezza del dominio

Puoi personalizzare le impostazioni di sicurezza per ogni sottodominio collegato a HubSpot. Le impostazioni di sicurezza includono il protocollo del tuo sito web (HTTP o HTTPS), la versione TLS e le intestazioni di sicurezza del tuo sito web.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.

In the domain manager, an arrow points to the Actions dropdown menu for a domain.

Protocollo HTTPS

Puoi richiedere che tutte le pagine del tuo sito vengano caricate in modo sicuro tramite HTTPS. Una volta attivata questa impostazione, i contenuti caricati tramite HTTP, come immagini e fogli di stile, non verrannocaricati sul tuo sito. I contenuti caricati tramite HTTP su un sito HTTPS sono denominati contenuti misti. Scopri come risolvere gli errori relativi ai contenuti misti sulla tua pagina.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, seleziona la casella di controllo Richiedi HTTPS per richiedere che tutte le pagine del dominio vengano caricate in modo sicuro tramite HTTPS anziché HTTP.
  5. Al termine, fai clic su Salva.
In the domain manager, the right panel for domain security settings is displayed. A box is placed around the Require HTTPS checkbox.

Versione TLS

Per impostazione predefinita, i server HubSpot accettano connessioni che utilizzano TLS 1.0 e versioni successive. Le connessioni che tentano di utilizzare una versione TLS inferiore a quella minima impostata non andranno a buon fine.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, fai clic sul menu a discesa Versione TLS e seleziona un'opzione.
  5. Al termine, clicca su Salva.

In the domain manager, the right panel for domain security settings is displayed. An arrow points to the TLS dropdown menu to select an option.

Intestazioni di sicurezza

Puoi configurare la sicurezza del tuo dominio e attivare le intestazioni di sicurezza per ogni dominio.

HTTP Strict Transport Security (HSTS)

Puoi aggiungere un ulteriore livello di sicurezza al tuo sito web abilitando HTTP Strict Transport Security (HSTS). HSTS indica ai browser di convertire tutte le richieste HTTP in richieste HTTPS. L'abilitazione di HSTS aggiunge l'intestazione HSTS alle risposte per le richieste effettuate agli URL sul sottodominio. Ulteriori informazioni sull'intestazione HSTS.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, clicca sulla scheda Intestazioni di sicurezza.
  5. Per abilitare HSTS, seleziona la casella di controllo HTTP Strict Transport Security (HSTS)
    • Per modificare il periodo di tempo durante il quale i browser devono ricordare di convertire le richieste HTTP in HTTPS, fai clic sul menu a discesa Durata (max-age) e seleziona una durata.
    • Per includere la direttiva di precaricamento nell'intestazione HSTS del dominio, seleziona la casella di controllo Abilita precaricamento. Ulteriori informazioni sul precaricamento HSTS.
    • Per includere l'intestazione HSTS in tutti i sottodomini del dominio selezionato, seleziona la casella di controllo Includi sottodomini. Ad esempio, se HSTS è attivato per www.examplewebsite.com e la casella di controllo Includi sottodomini è selezionata, anche cool.www.examplewebsite.com avrà HSTS attivato.
  6. Al termine, fai clic su Salva.

On the Security headers tab, a box is placed around the HTTP Strict Transport Security (HSTS) checkbox. An arrow points to the Duration (max-age) dropdown menu. Followed by two checkboxes with boxes placed around them for the Enable preload and Include subdomains options.

Impostazioni di sicurezza aggiuntive del dominio (Content Hub solo)

Se si dispone di un account Content HubStarter, Professional o Enterprise , puoi attivare le impostazioni di sicurezza aggiuntive riportate di seguito.

X-Frame-Options

Puoi attivare l'intestazione di risposta X-Frame-Options per mostrare se un browser può visualizzare una pagina nei tag html <frame>, <iframe>, <embed> o <object>. Ulteriori informazioni sull'intestazione X-Frame-Options.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, clicca sulla scheda Intestazioni di sicurezza.
  5. Per attivare X-Frame-Options, seleziona la casella di controllo X-Frame-Options, quindi fai clic sul menu a discesaDirettiva per selezionare un'opzione:
    • Per impedire che le pagine del tuo dominio vengano caricate su qualsiasi pagina nei tag sopra indicati, seleziona nega.
    • Per consentire il caricamento delle pagine del tuo dominio nei tag sopra indicati solo all'interno del tuo dominio, seleziona sameorigin.
  6. Al termine, fai clic su Salva.
On the Security headers tab, a box is placed around the X-Frame-Options checkbox. An arrow points to the Directive dropdown menu to select an option (e.g., deny or sameorigin).

X-XSS-Protection

Puoi attivare l'intestazione X-XSS-Protection per aggiungere un ulteriore livello di sicurezza per gli utenti di browser web meno recenti. L'attivazione di X-XSS-Protection impedisce il caricamento delle pagine quando viene rilevato uno scripting cross-site. Ulteriori informazioni sull'intestazione X-XSS-Protection.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, clicca sulla scheda Intestazioni di sicurezza.
  5. Per attivare l'intestazione X-XSS-Protection, seleziona la casella di controllo X-XSS-Protection, quindi fai clic sul menu a discesaImpostazioni XSS e seleziona un'opzione:
    • Per disattivare il filtro XSS, seleziona 0.
    • Per rimuovere le parti non sicure di una pagina quando viene rilevato un attacco cross-site scripting, seleziona 1.
    • Per impedire il rendering di una pagina se viene rilevato un attacco, seleziona 1; mode=block.
  6. Al termine, fai clic su Salva.
On the Security headers tab, a box is placed around the X-XSS-Protection checkbox. An arrow points to the XSS setting dropdown menu to select an option (e.g., 0, 1, or 1; mode=block).

X-Content-Type-Options

È possibile attivare l'intestazione X-Content-Type-Options per escludere le pagine dal rilevamento del tipo MIME. L'attivazione di questa impostazione indica al browser di seguire i tipi MIME indicati nelle intestazioni Content-Type. Ulteriori informazioni sull'intestazione X-Content-Type-Options.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, clicca sulla scheda Intestazioni di sicurezza.
  5. Per escludere le pagine dal rilevamento del tipo MIME, seleziona la casella di controllo X-Content-Type-Options.
  6. Al termine, fai clic su Salva.

Content-Security-Policy

È possibile attivare l'intestazione Content-Security-Policy per controllare le risorse che l'agente utente può caricare su una pagina. Questa intestazione aiuta a prevenire gli attacchi cross-site scripting.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, fai clic sulla scheda Intestazioni di sicurezza.
  5. Per controllare le risorse che l'agente utente può caricare, seleziona la casella di controllo Politica di sicurezza dei contenuti:
    • Inserisci le direttivenel campo Direttive della politica.
    • Per utilizzare l'intestazione Content-Security-Policy con le versioni web delle email di marketing, inserisci unsafe-inline come parola chiave descritta qui. In caso contrario, lo stile dell'email verrà bloccato. 
    • Per consentire l'esecuzione degli elementi <script> solo se contengono un attributo nonce corrispondente al valore dell'intestazione generato casualmente, seleziona lacasella di controlloAbilita nonce.
  6. Al termine, fai clic su Salva.

On the Security headers tab, a box is placed around the Content-Security-Policy checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

Nota: HubSpot genera automaticamente un valore casuale su ogni richiesta per tutti gli script provenienti da HubSpot e tutti gli script ospitati su HubSpot.

Per garantire la piena funzionalità delle pagine ospitate su HubSpot, è necessario includere i seguenti domini e direttive:

Dominio* Direttiva/e Strumento
*.hsadspixel.net script-src Pubblicità
*.hs-analytics.net script-src  Analisi
*.hubapi.com connect-src Chiamate API (HubDB, invio moduli)
js.hscta.net script-src, img-src, connect-src Call-to-action (pulsante)
js-eu1.hscta.net (solo hosting dati europeo) script-src, img-src, connect-src Inviti all'azione (pulsante)
no-cache.hubspot.com img-src Inviti all'azione (pulsante)
*.hubspot.com script-src, img-src, connect-src, frame-src Inviti all'azione (pop-up), flussi di chat
*.hs-sites.com frame-src Inviti all'azione (pop-up)
*.hs-sites-eu1.com (solo hosting dati europeo) frame-src Inviti all'azione (pop-up)
static.hsappstatic.net script-src Contenuto (menu a ruota dentata, incorporamento video)
*.usemessages.com script-src Conversazioni, flussi di chat
*.hs-banner.com script-src, connect-src Banner cookie
*.hubspotusercontent##.net (## può essere 00, 10, 20, 30 o 40) script-src, img-src, style-src File
*.hubspot.net script-src, img-src, frame-src File
play.hubspotvideo.com frame-src File (video)
play-eu1.hubspotvideo.com (solo hosting dati europeo) frame-src File (video)
cdn2.hubspot.net img-src, style-src File, fogli di stile
Il tuo dominio collegato a HubSpot frame-src, style-src, script-src File, fogli di stile
*.hscollectedforms.net script-src, connect-src Moduli (moduli non HubSpot)
*.hsleadflows.net script-src Moduli (moduli pop-up)
*.hsforms.net script-src, img-src, frame-src Moduli, sondaggi
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Moduli, sondaggi
*.hs-scripts.com script-src Codice di tracciamento HubSpot
*.hubspotfeedback.com script-src Sondaggi
feedback.hubapi.com script-src Sondaggi
feedback-eu1.hubapi.com (solo hosting dati europeo) script-src Sondaggi

Content-Security-Policy-Report-Only

È possibile attivare l'intestazione Content-Security-Policy-Report-Only per monitorare le direttive delle politiche. Le direttive delle politiche non saranno applicate, ma gli effetti saranno monitorati, il che può essere utile quando si sperimentano le politiche. Ulteriori informazioni sull'intestazione Content-Security-Policy-Report-Only.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, clicca sulla scheda Intestazioni di sicurezza.
  5. Per attivare questa intestazione, seleziona la casella di controllo Solo rapporto sulla politica di sicurezza dei contenuti, quindi inserisci le tue direttive sulla politica.
  6. Per consentire l'esecuzione degli elementi <script> solo se contengono un attributo nonce corrispondente al valore dell'intestazione generato casualmente, seleziona la casella di controlloAbilita nonce.
  7. Al termine, fai clic su Salva.

On the Security headers tab, a box is placed around the Content-Security-Policy-Report-Only checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

Referrer-Policy

È possibile attivare l'intestazione Referrer-Policy per controllare la quantità di informazioni di riferimento da includere nelle richieste. Per una definizione delle direttive disponibili, consultare la guida Referrer-Policy di Mozilla.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu della barra laterale sinistra, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, fai clic sulla scheda Intestazioni di sicurezza.
  5. Per controllare la quantità di informazioni sul referrer da includere nelle richieste, seleziona la casella di controlloPolitica referrer, quindi fai clic sul menu a discesaDirettiva e seleziona un'opzione.
  6. Al termine, fai clic su Salva.

On the Security headers tab, a box is placed around the Referrer-Policy checkbox. An arrow points to the Directive dropdown menu to select an option.

Permissions-Policy

È possibile attivare l'intestazione Permissions-Policy per controllare l'uso delle funzionalità del browser nella pagina, incluso il contenuto dell'elemento <iframe>.

  1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
  2. Nel menu laterale sinistro, vai su Contenuto > Domini e URL.
  3. Fai clic sul menua discesa Azioni e seleziona Aggiorna impostazioni di sicurezza del dominio.
  4. Nel pannello laterale destro, fai clic sulla scheda Intestazioni di sicurezza.
  5. Per controllare l'uso delle funzionalità del browser, seleziona la casella di controllo Politica di autorizzazione, quindi inserisci le tue direttive. Per un elenco delle direttive, consulta la guida Politica di autorizzazione di Mozilla.
  6. Al termine, clicca su Salva.

On the Security headers tab, a box is placed around the Permissions-Policy checkbox. An arrow points to the Directives text input field.
L'articolo è stato utile?
Questo modulo viene utilizzato solo per il feedback della documentazione. Scopri come ottenere assistenza con HubSpot.
Indice Menu

Contenuti correlati

New to HubSpot? Use these guides to get started.