更新日時 2022年 9月 13日
ドメインをアカウントに接続すると、HubSpotはDigiCertを通じて標準のSAN SSL証明書を自動的にプロビジョニングします。通常は数分で終わりますが、最大で4時間かかる場合があります。
カスタムSSLアドオンを購入した場合は、カスタムSSL証明書をHubSpotにアップロードすることができます。TLSバージョンやセキュリティヘッダーなど、接続されている各ドメインのセキュリティ設定を設定することもできます。
注意: SSLプロビジョニングプロセス中にエラーが発生した 場合は、SSL証明書エラーのトラブルシューティングについて詳しく説明します。
SSL 証明書を事前にプロビジョニングする
既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメイン をHubSpotに接続しながら、SSL証明書を事前にプロビジョニングできます。
SSL証明書を事前にプロビジョニングするには、次の手順を実行します。
- ドメイン接続プロセスの[DNS設定] ページに、サイトに既存のSSL証明書がある場合、バナーが表示されます。プロビジョニングプロセス を開始するには、ここをクリックしてください。
- ダイアログボックスの指示に従います。
- GoDaddy、Namecheapなど、ご使用のDNSプロバイダーのアカウントにログインします。
- DNSプロバイダーで、DNSレコードを管理する DNS設定 画面に移動します。
- ダイアログボックスに表示されている ホスト(名前) と 値を使用して、ダイアログボックスに従って新しいDNSレコードを作成します。
注意:ネットワークソリューション、Namecheap、またはGoDaddyを使用している 場合、ルートドメインをコピーする必要はありません。プロバイダーは、DNSレコードの末尾にルートドメインを自動的に追加します。
- [認証]をクリックします。プロセスの変更には最大で4時間かかる場合があります。確認をクリックしてエラーが発生した場合は、数分待ってから 確認をクリックしてもう一度 確認 してください。
証明書が事前にプロビジョニングされている場合は、ドメイン接続画面に確認バナーが表示されます。その場合は、ドメインの接続を続行します。
ドメインセキュリティー設定
HubSpot に接続されている各サブドメインのセキュリティー設定をカスタマイズできます。セキュリティー設定には、ウェブサイトのプロトコル(HTTP と HTTPS)、TLS バージョン、およびウェブサイトのセキュリティーヘッダーが含まれます。
ドメインのセキュリティー設定を更新するには、次の手順を実行します。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン ]をクリックします。
- 左のサイドバーメニューで[ウェブサイト]>[ドメインとURL]の順に移動します。
- ドメインの横にある[編集]をクリックし、[ドメインのセキュリティ設定を 更新]を選択します。
HTTPSプロトコル
サイトのすべてのページをHTTPSで安全に読み込むよう求めることができます。これが有効になっている場合は、画像やスタイルシートなどの HTTP 経由で読み込まれるコンテンツがサイト上で読み込まれなくなります。HTTPS サイト上の HTTP 経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。ページ上の混在コンテンツエラーを解決する方法を確認してください。
HTTPSプロトコルをオンにするには、[HTTPSを 必要とする]チェックボックスをオンにします。
TLS バージョン
既定で、HubSpot サーバーは TLS 1.0 以降を使用した接続を受け入れます。
サポートされているTLSバージョンを変更するには、TLSバージョンのドロップダウンメニューをクリックして、サポートする最低のTLSバージョンを選択します。最低設定より低い TLS バージョンを使用しようとする接続は失敗します。
セキュリティーヘッダー
ドメインのセキュリティを設定し、各ドメインのセキュリティヘッダーをオンにすることができます。
HTTP Strict Transport Security(HSTS)
HTTP Strict Transport Security(HSTS)を有効にすることで、ウェブサイトに余分なセキュリティーのレイヤーを追加できます。HSTS は、すべての HTTP リクエストを HTTPS リクエストに変換するようにブラウザーに指示します。HSTS を有効にすると、サブドメイン上の URL に対して行われるリクエストのレスポンスに HSTS ヘッダーが追加されます。
- HSTSを有効にするには、[セキュリティヘッダー]タブをクリックし、[HTTP厳格トランスポートセキュリティ(HSTS)]チェックボックスを選択します。
- HTTPをHTTPSリクエストに変換するブラウザの保存期間を設定するには、[期間(最大年齢)]ドロップダウンメニューをクリックして期間を選択します。
- ドメインの HSTS ヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする] チェックボックスをオンにします。HSTS をプレロードする方法について説明します。
- 選択されたサブドメインに属しているすべてのサブドメインに HSTS ヘッダーを含めるには、[サブドメインを含める] チェックボックスをオンにします。たとえば、www.examplewebsite.comでHSTSが有効になっており、[サブドメインを含める]チェックボックスがオンになっている場合、cool..py?examplewebsite.comでもHSTSが有効になります。
HSTS ヘッダーの詳細を確認してください。
追加のドメインセキュリティ設定(CMSハブのみ)
CMSハブアカウントをお持ちの場合は、以下の追加のセキュリティ設定を有効にすることができます。
X-Frame-Options
ブラウザーが<frame>、<iframe>、<embed>、または<object>タグでページをレンダリングできるかどうかを示すには、X-Frame-Options応答ヘッダーを有効にします。
Xフレームオプションを有効にするには、[Xフレームオプション]チェックボックスを選択し、ドロップダウンメニューからディレクティブを選択します。
- ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
- ドメイン上のページがドメイン全体で上記のタグに読み込まれるようにするには、同じ元を選択します。
X-Frame-Optionsヘッダーの詳細を確認してください。
X-XSS-Protection
クロスサイトスクリプティングが検出されたときにページが読み込まれないようにすることによって、古いウェブブラウザーのユーザーのセキュリティーレイヤーを追加するには、X-XSS-Protectionヘッダーを有効にします。
このヘッダーを有効にするには、[X - XSS保護]チェックボックスを選択し、ドロップダウンメニューからXSS設定を選択します。
- XSSフィルタリングを無効にするには、0を選択します。
- クロスサイトスクリプティング攻撃が検出されたときにページの安全でない部分を削除するには、1を選択します。
- 攻撃が検出された場合にページのレンダリングを防止するには、[1; mode = block]を選択します。
X-XSS-Protectionヘッダーの詳細を確認してください。
X-Content-Type-Options
MIMEタイプスニフィングからページをオプトアウトするには、X-Content-Type-Optionsヘッダーを有効にします。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。
X-Content-Type-Optionsヘッダーの詳細を確認してください。
Content-Security-Policy
ユーザーエージェントがページに読み込むことができるリソースを制御するには、Content-Security-Policyヘッダーを有効にします。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。
コンテンツセキュリティポリシーヘッダーを有効にするには、[コンテンツセキュリティポリシー]チェックボックスをオンにして、ポリシーディレクティブを指定します。利用可能なディレクティブのリストについては、MozillaのContent - Security - Policyヘッダーガイドを参照してください。
<script> 要素にランダムに生成されたヘッダー値に一致するnonce属性が含まれている場合にのみ実行を許可するには、nonceを有効にするを選択します。
注意: HubSpotは、HubSpotからのすべてのスクリプトと、HubSpotでホストされているすべてのスクリプトの各要求に対してランダムな値を自動的に生成します。
HubSpotでホストされているページの完全な機能を保証するために、次のドメインを含める必要があります。
-
cdn2.hubspot.net
-
*.hubspot.com
-
*.hubspotusercontentxx.net ( xxは00、10、20、30、40のいずれかにすることができます)
-
js.hscollectedforms.net
-
js.hsleadflows.net
-
js.hs-scripts.com
-
js.hsadspixel.net
-
js.hs-analytics.net
-
js.hs-banner.com
-
js.hs-banner.net
-
*.hsforms.net
-
*.hsforms.com
-
static.hsappstatic.net
-
js.hubspotfeedback.com
-
feedback.hubapi.com
-
js.usemessages.com
-
*.vidyard.com
Content-Security-Policy-Report-Only
ポリシーディレクティブを監視するには、Content-Security-Policy-Report-Onlyヘッダーを有効にします。ポリシーディレクティブは適用されませんが、影響は監視されるため、ポリシーを使用して実験する場合に便利です。
このヘッダーを有効にするには、[Content - Security - Policy - Report - Only]チェックボックスをオンにして、ポリシーディレクティブを入力します。
<script> 要素にランダムに生成されたヘッダー値に一致するnonce属性が含まれている場合にのみ実行を許可するには、nonceを有効にするを選択します。
Content-Security-Policy-Report-Onlyヘッダーの詳細を確認してください。
Referrer-Policy
リファラー情報をリクエストに含める量を制御するには、Referrer-Policyヘッダーを有効にします。
このヘッダーを有効にするには、[参照元ポリシー]チェックボックスを選択し、ドロップダウンメニューからディレクティブを選択します。
利用可能なディレクティブの定義については、 MozillaのReferrer-Policyガイドをご覧ください。
Feature-Policy
<iframe>要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御するには、Feature-Policyヘッダーを有効にします。
このヘッダーを有効にするには、[機能ポリシー]チェックボックスをオンにして、ディレクティブを入力します。ディレクティブのリストについては、 MozillaのFeature-Policyガイドをご覧ください。
