HubSpotでのSSLとドメインセキュリティー
更新日時 2024年 10月 16日
以下の 製品でご利用いただけます(別途記載されている場合を除きます)。
すべての製品とプラン |
HubSpotは、ドメインをアカウントに接続する際、 Google Trust Servicesを通じて標準SAN SSL証明書を自動的にプロビジョニングします。これは通常は数分で終わりますが、最大で4時間かかる場合があります。
カスタムSSL追加オプションを購入した場合、カスタムSSL証明書をHubSpotに追加アップロードできます。TLSバージョンやセキュリティーヘッダーなど、接続されているドメインごとにセキュリティー設定を構成することもできます。
注: SSLプロビジョニングプロセス中にエラーが発生した場合は、SSL証明書エラーのトラブルシューティングの詳細をご覧ください。
SSL
HubSpotから提供される標準SAN SSLは、無料で、有効期限の30日前に自動的に更新されます。証明書を更新するには、次の両方の条件を満たす必要があります。
- HubSpotのお客さまである。
- ドメインCNAMEが、初期プロセスで設定されたセキュアサーバーを参照している。
- Google Trust Servicesは、ドメインの証明書をプロビジョニングする認証機関です。ドメインに認証機関承認(CAA)レコードが含まれている場合は、「pki.goog」がリストされており、SSLをプロビジョニングまたは更新できることを確認します。
- Let's Encrypt SSL証明書を使用している場合は、CAAレコードを削除してから、Google Trust ServicesをサポートするCAAレコードを追加することをおすすめします。これにより、ウェブサイトが古いAndroidデバイスで正常に機能するようになります。
SSL証明書を事前にプロビジョニングする
既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメインを HubSpotに接続する際に、SSL証明書を事前にプロビジョニングすることができます。
SSL証明書を事前にプロビジョニングするには、次の手順に従います。
- サイトに既存のSSL証明書がある場合は、ドメイン接続プロセスの[DNSのセットアップ]ページにバナーが表示されます。[ここをクリック]をクリックしてプロビジョニングプロセスを開始します。
- ダイアログボックスの指示に従います。
- GoDaddy、Namecheapなど、ご使用のDNSプロバイダーのアカウントにログインします。
- DNSプロバイダーで、DNSレコードを管理する[DNS設定]画面に移動します。
- ダイアログボックスで入力された[ホスト(名前)]と[値]の値を使用して、ダイアログボックスに基づいて新しいDNSレコードを作成します。
注:Network Solutions、Namecheap、またはGoDaddyを使用している場合は、ルートドメインをコピーする必要はありません。プロバイダーは、ルートドメインをDNSレコードの最後に自動的に追加します。
- [認証]をクリックします。プロセスの変更には最大で4時間かかる場合があります。[確認]をクリックしたときにエラーが発生した場合は、数分待ってからもう一度[確認]をクリックしてチェックしてください。
証明書が事前にプロビジョニングされている場合は、ドメイン接続画面に確認バナーが表示されます。その場合は、ドメインの接続を続行します。
ドメインコントロール検証(DCV)レコードの設定
ドメイン設定に「リバース プロキシー ドメインは、ウェブサイトの混乱を避けるためにあなたのアクションが必要です」というエラーが表示された場合は、ドメインコントロール検証(DCV)レコードを追加して、SSL証明書を最新の状態に保つことをお勧めします。
以下の手順でDCVレコードを追加できます。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [対応が必要]ラベルが付いている各ドメインについて、[編集]ドロップダウンメニューをクリックして、[DNSレコードを表示]を選択します。
- 別のウィンドウで、DNSプロバイダーのアカウントにログインし、自分のDNSレコードにアクセスします。最も一般的なDNSプロバイダーのDNSレコードを編集するための詳細な手順については、DNSセットアップガイドをチェックしてください。
- HubSpotで、ダイアログボックスのDCVレコードの値をコピーし、DNSプロバイダーアカウントの新しいレコードに貼り付けます。DNSの変更が反映されて更新が完了するまでに最大24時間かかる場合があります。
ドメインセキュリティー設定
HubSpotに接続されている各サブドメインのセキュリティー設定をカスタマイズできます。セキュリティー設定には、ウェブサイトのプロトコル(HTTPとHTTPS)、TLSバージョン、およびウェブサイトのセキュリティーヘッダーが含まれます。
ドメインのセキュリティー設定を更新するには、次の手順に従います。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- 対象のドメインの横にある[アクション]メニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
HTTPSプロトコル
サイトの全てのページをHTTPSで安全に読み込むよう求めることができます。この設定が有効になっている場合は、画像やスタイルシートなどのHTTP経由で読み込まれるコンテンツがサイト上で読み込まれなくなります。HTTPSサイト上のHTTP経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。、自分のページでミックスコンテンツエラーを解決する方法を学びましょう。
HTTPSプロトコルを有効にするには、[HTTPSが必須]チェックボックスをオンにします。
TLSバージョン
既定で、HubSpotサーバーはTLS 1.0以降を使用した接続を受け入れます。
サポートされているTLSバージョンを変更するには、[TLSバージョン]ドロップダウンメニューをクリックして、サポートする最低のTLSバージョンを選択します。最小設定より低いTLSバージョンを使用しようとする接続は失敗します。
セキュリティーヘッダー
ドメインセキュリティーを設定し、ドメインごとにセキュリティーヘッダーを有効にすることができます。
HTTP Strict Transport Security(HSTS)
HTTP Strict Transport Security(HSTS)を有効にすることで、ウェブサイトに余分なセキュリティーのレイヤーを追加できます。HSTSは、全てのHTTPリクエストをHTTPSリクエストに変換するようにブラウザーに指示します。HSTSを有効にすると、サブドメイン上のURLに対して行われるリクエストのレスポンスにHSTSヘッダーが追加されます。
- HSTSを有効にするには、[セキュリティーヘッダー]タブをクリックしてから、[HTTP Strict Transport Security(HTSS)]チェックボックスをオンにします。
- ブラウザーがHTTPをHTTPSリクエストに変換することを記憶しておく時間を設定するには、[期間(max-age)]ドロップダウンメニューをクリックして期間を選択します。
- ドメインのHSTSヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする]チェックボックスをオンにします。HSTSをプレロードする方法について詳細をご確認ください。
- 選択されたサブドメインに属している全てのサブドメインにHSTSヘッダーを含めるには、[サブドメインを含める]チェックボックスをオンにします。例えば、「www.examplewebsite.com」のHSTSが有効になっており、[サブドメインを含める]チェックボックスがオンになっている場合は、「cool.www.examplewebsite.com」でもHSTSが有効になります。
HSTSヘッダーの詳細をご確認ください。
その他のドメインセキュリティー設定(Content Hubのみ)
Content Hub Starter、Professional、またはEnterpriseアカウントをご利用の場合は、以下の追加のセキュリティー設定を有効にできます。
X-Frame-Options
ブラウザーが<frame>、<iframe>、<embed>、または<object>タグでページをレンダリングできるかどうかを示すには、X-Frame-Options応答ヘッダーを有効にします。
X-Frame-Optionsを有効にするには、[X-Frame-Options]チェックボックスをオンにしてから、ドロップダウンメニューから[ディレクティブ]を選択します。
- ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
- ドメイン上のページが自分のドメイン内でのみ上記タグに読み込まれるようにするには、[sameorigin]を選択します。
X-Frame-Optionsヘッダーの詳細をご確認ください。
X-XSS-Protection
クロスサイトスクリプティングが検出されたときにページが読み込まれないようにすることによって、古いウェブブラウザーのユーザーのセキュリティーレイヤーを追加するには、X-XSS-Protectionヘッダーを有効にします。
このヘッダーを有効にするには、[X-XSS-Protection]チェックボックスをオンにしてから、ドロップダウンメニューから[XSS設定]を選択します。
- XSSフィルタリングを無効にするには、[0]を選択します。
- クロスサイトスクリプティング攻撃が検出されたときにページの安全でない部分を削除するには、[1]を選択します。
- 攻撃が検出された場合にページのレンダリングを防止するには、[1; mode=block]を選択します。
X-XSS-Protectionヘッダーの詳細をご確認ください。
X-Content-Type-Options
X-Content-Type-Optionsヘッダをオンにすると、MIMEタイプのスニッフィングからページを除外することができます。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。
X-Content-Type-Optionsヘッダーの詳細をご確認ください。
Content-Security-Policy
ユーザーエージェントがページに読み込むことができるリソースを制御するには、Content-Security-Policyヘッダーを有効にします。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。
Content-Security-Policyヘッダーを有効にするには、[Content-Security-Policy]チェックボックスをオンにしてから、[ポリシー指示]を指定します。利用可能なディレクティブのリストについては、MozillaのContent-Security-Policyヘッダーガイドをご覧ください。
マーケティングEメールのウェブバージョンでContent-Security-Policyヘッダーを使用するには、で説明されているように、「unsafe-inline」キーワードを追加する。そうでない場合は、Eメールからのスタイリングはブロックされます。
ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[nonceを有効化]を選択します。
注:HubSpotからの全てのスクリプトとHubSpotでホスティングする全てのスクリプトについて、リクエストごとにランダムな値を自動的に生成します。
HubSpotがホスティングするページで全機能を確保するには、次のドメインとディレクティブを含める必要があります。
ドメイン* | ディレクティブ | ツール |
*.hsadspixel.net | script-src | 広告 |
*.hs-analytics.net | script-src | アナリティクス |
*.hubapi.com | connect-src | API呼び出し(HubDB、フォーム送信) |
js.hscta.net | script-src、img-src、connect-src | CTA(ボタン) |
js-eu1.hscta.net(ヨーロッパのデータのホスティングのみ) | script-src、img-src、connect-src | CTA(ボタン) |
no-cache.HubSpot.com | img-src | CTA(ボタン) |
*.hubspot.com | script-src、img-src、connect-src、frame-src | CTA(ポップアップ)、チャットフロー |
*.hs-sites.com | frame-src | CTA(ポップアップ) |
*.hs-sites-eu1.com(ヨーロッパのデータのホスティングのみ) | frame-src | CTA(ポップアップ) |
static.hsappstatic.net | script-src | コンテンツ(スプロケットメニュー、動画の埋め込み) |
*.usemessages.com | script-src | コミュニケーション、チャットフロー |
*.hs-banner.com | script-src、connect-src | Cookieバナー |
*.hubspotusercontent##.net(##は00、10、20、30、40のいずれか) | script-src、img-src、style-src | ファイル |
*.hubspot.net | script-src、img-src、frame-src | ファイル |
play.hubspotvideo.com | frame-src | ファイル(ビデオ) |
play-eu1.hubspotvideo.com(ヨーロッパのデータのホスティングのみ) | frame-src | ファイル(ビデオ) |
cdn2.hubspot.net | img-src、style-src | ファイル、スタイルシート |
HubSpotに接続されているお客さまのドメイン | frame-src、style-src、script-src | ファイル、スタイルシート |
*.hscollectedforms.net | script-src、connect-src | フォーム(HubSpot以外のフォーム) |
*.hsleadflows.net | script-src | フォーム(ポップアップフォーム) |
*.hsforms.net | script-src、img-src、frame-src | フォーム、アンケート |
*.hsforms.com | script-src、img-src、frame-src、connect-src、child-src | フォーム、アンケート |
*.hs-scripts.com | script-src | HubSpotトラッキングコード |
*.hubspotfeedback.com | script-src | アンケート |
feedback.hubapi.com | script-src | アンケート |
feedback-eu1.hubapi.com(ヨーロッパのデータのホスティングのみ) | script-src | アンケート |
Content-Security-Policy-Report-Only
ポリシーディレクティブを監視するには、Content-Security-Policy-Report-Onlyヘッダーを有効にします。ポリシーディレクティブは適用されませんが、影響は監視されるため、ポリシーを使用して実験する場合に便利です。
このヘッダーを有効にするには、[Content-Security-Policy-Report-Only]チェックボックスをオンにしてから、[ポリシー指示]を入力します。
ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[nonceを有効化]を選択します。
Content-Security-Policy-Report-Onlyヘッダーの詳細をご確認ください。
Referrer-Policy
リファラー情報をリクエストに含める量を制御するには、Referrer-Policyヘッダーを有効にします。
このヘッダーを有効にするには、[Referrer-Policy]チェックボックスをオンにしてから、ドロップダウンメニューから[ディレクティブ]を選択します。
利用可能なディレクティブの定義については、MozillaのReferrer-Policyガイドをご覧ください。
Permissions-Policy
<iframe>要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御するには、Permissions-Policyヘッダーを有効にします。
このヘッダーを有効にするには、[Permissions-Policy]チェックボックスをオンにしてから、[ディレクティブ]を入力します。ディレクティブのリストについては、MozillaのPermissions-Policyガイドをご覧ください。