お客さまへの大切なお知らせ:膨大なサポート情報を少しでも早くお客さまにお届けするため、本コンテンツの日本語版は人間の翻訳者を介さない自動翻訳で提供されております。正確な最新情報については本コンテンツの英語版をご覧ください。
Domains & URLs

HubSpotでのSSLとドメインセキュリティ

更新日時 2020年 11月 5日

対象製品

Marketing Hub  Starter, Professional, Enterprise
CMS Hub  Professional, Enterprise
Marketing Hub Basic(旧製品)

アカウントにドメインを接続すると、HubSpotにより、DigiCertを介して標準のSAN SSL証明書が自動的にプロビジョニングされます。通常は数分で終わりますが、最大で4時間かかる場合があります。カスタムSSLアドオンを購入した場合は、カスタムSSL証明書をHubSpotにアップロードすることができます。

接続されているドメインごとに、TLSバージョンやセキュリティーヘッダーなどのセキュリティ設定を構成することもできます。

注:SSLプロビジョニングプロセス中にエラーが発生した場合は、HubSpotのSSL証明書エラーに関するトラブルシューティングガイドを参照してください。

SSL

HubSpotから提供される標準SAN SSLは、無料で、有効期限の30日前に証明書が自動的に更新されます。証明書を更新するには、次の両方の条件を満たす必要があります。

  • 引き続き HubSpot のお客様です。
  • ドメイン CNAME が初期プロセスで設定されたセキュアサーバーを依然として参照しています。
ただし、別のプロビジョニングを使用したり別の証明書タイプを使用したりする場合は、カスタムSSLアドオンを購入することにより、カスタムSSL証明書をアカウントに追加することができます。証明書のセキュリティが損なわれるため、既存のSSL証明書は使用しないでください。

 DigiCert は、ドメインの証明書をプロビジョニングする認証機関です。ドメインに認証機関承認(CAA)レコードが含まれている場合は、digicert.com が一覧表示されているため、 SSL をプロビジョニングまたは更新できることを確認します。

SSL 証明書を事前にプロビジョニングする

既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメインをHubSpotに接続中に、SSL証明書を事前にプロビジョニングできます。

SSL証明書を事前にプロビジョニングするには、次の手順を実行します。

  • サイトに既存のSSL証明書がある場合は、ドメイン接続プロセスの[DNSのセットアップ]ページにバナーが表示されます。[ここをクリック]をクリックしてプロビジョニングプロセスを開始します。 

    pre-provision-ssl-certificate
  • ダイアログボックスの指示に従います。
    • GoDaddyやNamecheapなどのDNSプロバイダーアカウントにログインします。
    • DNSプロバイダーで、DNSレコードを管理する[DNS設定]画面に移動します。
    • ダイアログボックスで入力された[ホスト(名前)][値]の値を使用して、ダイアログボックスに基づいて新しいDNSレコードを作成します。

注:Network SolutionsNamecheap、またはGoDaddyを使用している場合は、すべてをコピーして、サブドメインを含める必要があるだけです。プロバイダーは、ブランドドメインとトップレベルドメインをDNSレコードの最後に自動的に追加します。

  • [確認] をクリックします。プロセスの変更には最大で4時間かかる場合があります。[確認]をクリックしたときにエラーが発生した場合は、数分待ってからもう一度[確認]をクリックしてチェックしてください。

証明書が事前にプロビジョニングされている場合は、ドメイン接続画面に確認バナーが表示されます。その場合は、ドメインの接続を続行します。

ssl-pre-provision-success

ドメインセキュリティ設定

HubSpot に接続されている各サブドメインのセキュリティ設定をカスタマイズできます。セキュリティー設定には、ウェブサイトのプロトコル(HTTP と HTTPS)、TLS バージョン、およびウェブサイトのセキュリティヘッダーが含まれます。

ドメインのセキュリティ設定を更新するには、次の手順を実行します。

  • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
  • 左のサイドバーメニューで[CMS]>[ドメインとURL]に進みます。
  • ドメインの横にある [編集] をクリックし、[ドメインセキュリティ設定を更新] を選択します。
update-domain-security-settings

HTTPS プロトコル

既定で、HubSpot は SSL がプロビジョニングされたときに HTTPS プロトコルを有効にします。これにより、安全ではない http ではなく、サイトの安全な https バージョンにサイト訪問者が自動的に送信されます。

これが有効になっている場合は、画像やスタイルシートなどの HTTP 経由で読み込まれるコンテンツがサイト上で読み込まれなくなります。HTTPS サイト上の HTTP 経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。ページ上の混在コンテンツエラーを解決する方法を確認してください。

HTTPS プロトコルを無効にするには、[HTTPS を要求する] チェックボックスをオフにします。


require-https


TLS バージョン

既定で、HubSpot サーバーは TLS 1.0 以降を使用した接続を受け入れます。

サポートされている TLS バージョンを変更するには、[TLS バージョン] ドロップダウンメニューをクリックして、サポートする最低の TLS バージョンを選択します。最低設定より低い TLS バージョンを使用しようとする接続は失敗します。

TLS-version

セキュリティーヘッダー

ドメインあたりのセキュリティヘッダー設定を有効にしてドメインセキュリティを構成します。

HTTP Strict Transport Security(HSTS)

HTTP Strict Transport Security(HSTS)を有効にすることで、ウェブサイトに余分なセキュリティのレイヤーを追加できます。HSTS は、すべての HTTP リクエストを HTTPS リクエストに変換するようにブラウザに指示します。HSTS を有効にすると、サブドメイン上の URL に対して行われるリクエストのレスポンスに HSTS ヘッダーが追加されます。

  • HSTS を有効にするには、[セキュリティヘッダー] タブをクリックしてから、[HTTP Strict Transport Security(HTSS)] チェックボックスをオンにします。


security-HSTS-setting

  • ブラウザがHTTPからHTTPSへのリクエストの変換を記憶している時間を設定するには、[期間(max-age)]ドロップダウンメニューをクリックして期間を選択します。
  • ドメインの HSTS ヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする] チェックボックスをオンにします。HSTS をプレロードする方法について説明します。
  • 選択されたサブドメインに属しているすべてのサブドメインに HSTS ヘッダーを含めるには、[サブドメインを含める] チェックボックスをオンにします。たとえば、www.examplewebsite.com の HSTS が有効になっており、[サブドメインを含める] チェックボックスがオンになっている場合は、cool.www.examplewebsite.com でも HSTS が有効になります。

HSTS ヘッダーの詳細を確認してください。

追加のドメインセキュリティ設定(CMS Hub Enterprise のみ)

CMS Hub Enterpriseアカウントを所有している場合は、以下の追加のセキュリティ設定を有効にできます。

X-Frame-Options

ブラウザーが<frame>、<iframe>、<embed>、または<object>タグでページをレンダリングできるかどうかを示すには、X-Frame-Options応答ヘッダーを有効にします。

X-Frame-Optionsを有効にするには、[X-Frame-Options]チェックボックスをオンにしてから、ドロップダウンメニューから[ディレクティブ]を選択します。

  • ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
  • ドメイン上のページが自分のドメイン内でのみ上記タグに読み込まれるようにするには、[sameorigin]を選択します。

    x-frame-options-setting

X-Frame-Optionsヘッダーの詳細を確認してください。

X-XSS-Protection

クロスサイトスクリプティングが検出されたときにページが読み込まれないようにすることによって、古いウェブブラウザのユーザーのセキュリティレイヤーを追加するには、X-XSS-Protectionヘッダーを有効にします。

このヘッダーを有効にするには、[X-XSS-Protection]チェックボックスをオンにしてから、ドロップダウンメニューから[XSS設定]を選択します。

  •  XSSフィルタリングを無効にするには、[0]を選択します。
  • クロスサイトスクリプティング攻撃が検出されたときにページの安全でない部分を削除するには、[1]を選択します。
  • 攻撃が検出された場合にページのレンダリングを防止するには、[1; mode=block]を選択します。

    x-xss-protection-header

X-XSS-Protectionヘッダーの詳細を確認してください。

X-Content-Type-Options

MIMEタイプスニフィングからページをオプトアウトするには、X-Content-Type-Optionsヘッダーを有効にします。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。 

x-content-type-options

X-Content-Type-Optionsヘッダーの詳細を確認してください。

Content-Security-Policy

ユーザーエージェントがページに読み込むことができるリソースを制御するには、Content-Security-Policyヘッダーを有効にします。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。

Content-Security-Policyヘッダーを有効にするには、[Content-Security-Policy]チェックボックスをオンにしてから、[ポリシー指示]を指定します。利用可能なディレクティブのリストについては、 MozillaのContent-Security-Policyヘッダーガイドをご覧ください。

ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[ノンスを有効化]を選択します。 


content-security-policy-header

Content-Security-Policy-Report-Only

ポリシーディレクティブを監視するには、Content-Security-Policy-Report-Onlyヘッダーを有効にします。ポリシーディレクティブは適用されませんが、影響は監視されるため、ポリシーを使用して実験する場合に便利です。

このヘッダーを有効にするには、[Content-Security-Policy-Report-Only] チェックボックスをオンにしてから、[ポリシー指示]を入力します。 

ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[ノンスを有効化]を選択します。 

content-security-policy-report-only-header

Content-Security-Policy-Report-Onlyヘッダーの詳細を確認してください。

Referrer-Policy

リファラー情報をリクエストに含める量を制御するには、Referrer-Policyヘッダーを有効にします。

このヘッダーを有効にするには、[Referrer-Policy]チェックボックスをオンにしてから、ドロップダウンメニューから[ディレクティブ]を選択します。

referrer-policy-header利用可能なディレクティブの定義については、 MozillaのReferrer-Policyガイドをご覧ください。

Feature-Policy

<iframe>要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御するには、Feature-Policyヘッダーを有効にします。

このヘッダーを有効にするには、[Feature-Policy]チェックボックスをオンにしてから、[ディレクティブ]を入力します。ディレクティブのリストについては、 MozillaのFeature-Policyガイドをご覧ください。

feature-policy-header