HubSpotでのSSLとドメインセキュリティー
更新日時 2025年10月8日
以下の 製品でご利用いただけます(別途記載されている場合を除きます)。
ドメインをアカウントに接続する際、Google Trust Servicesを介して標準のSAN SSL証明書がHubSpotによって自動的にプロビジョニングされます。標準のSSLプロビジョニングは通常、数分で完了しますが、最大で4時間かかる場合もあります。
カスタムSSL追加オプションを購入した場合は、カスタムSSL証明書をHubSpotにアップロードすることができます。また、TLSバージョンやセキュリティーヘッダーなど、接続されているドメインごとにセキュリティー設定を構成することもできます。
注:SSLプロビジョニングプロセス中にエラーが発生した場合は、SSL証明書エラーに関するトラブルシューティングガイドを参照してください。
SSL
HubSpotから提供される標準SAN SSLは無料で、有効期限の30日前に自動的に更新されます。証明書を更新するには、次の両方の条件を満たす必要があります。
- HubSpotのお客さまである。
- ドメインCNAMEが、初期プロセスで設定されたセキュアサーバーを参照している。
- 注:Google Trust Servicesは、ドメインの証明書をプロビジョニングする認証機関です。ご使用のドメインに認証機関承認(CAA)レコードが含まれている場合、SSLのプロビジョニングや更新が可能になるようにするには「pki.goog」がリストされいることを確認してください。
- Let's Encrypt SSL証明書を使用している場合は、CAAレコードを削除してから、Google Trust ServicesをサポートするCAAレコードを追加することをお勧めします。これにより、古いAndroidデバイスで貴社のウェブサイトが正常に機能するようになります。
SSL 証明書を事前にプロビジョニングする
既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメインをHubSpotに接続中に、SSL証明書を事前にプロビジョニングできます。
- サイトに既存のSSL証明書がある場合は、ドメインの接続プロセス中にバナーが表示されます。[事前プロビジョニング]をクリックし、ダイアログボックスの手順に従ってプロビジョニングプロセスを開始します。
- 別のブラウザーウィンドウまたはタブで、ドメインプロバイダーのサイト(GoDaddyやNamecheapなど)にサインインします。
- ドメインプロバイダーのサイトで、DNSレコードを管理するためのDNS設定に移動します。
- HubSpotの[SSL証明書を事前プロビジョニング]ダイアログボックスに従って、新しいDNSレコードを作成します。[ホスト]と[必須のデータ]の値をコピーします。
- 完了したら、[SSL証明書を事前プロビジョニング]ダイアログボックスの[確認]をクリックします。プロセスの変更には最大で4時間かかる場合があります。[確認]をクリックしたときにエラーが発生した場合は、数分待ってからもう一度[確認]をクリックしてチェックしてください。
注:Network Solutions、Namecheap、またはGoDaddyをご使用の場合は、ルートドメインをコピーする必要はありません。プロバイダーは、ルートドメインをDNSレコードの最後に自動的に追加します。
- 証明書が正常に事前プロビジョニングされると、ドメイン接続画面に確認バナーが表示されます。その場合は、ドメインの接続を続行します。
ドメインコントロール検証(DCV)レコードの設定
「ウェブサイトの中断を回避するには、リバース プロキシー ドメインへの対応を行う必要があります」というエラーがドメイン設定に表示される場合は、SSL証明書が最新状態に保たれるようにドメインコントロール検証(DCV)レコードを追加することをお勧めします。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [対応が必要]ラベルが付いている各ドメインについて、[アクション]ドロップダウンメニューをクリックして、[DNSレコードを表示]を選択します。
- 別のブラウザーウィンドウまたはタブで、ドメインプロバイダーのサイトにサインインし、DNSレコードにアクセスします。詳しくは、一般的なプロバイダーのDNS設定をご覧ください。
- ドメインプロバイダーのサイトで、DNSレコードを管理するためのDNS設定に移動します。
- HubSpotのダイアログボックスに従って、新しいDNSレコードを作成します。DCVレコードの値をコピーし、DNS設定内のドメインプロバイダーのサイトにある新しいレコードにそれらを貼り付けます。
- 新しいDCVレコードをDNSアカウントに追加すると、DNS変更による更新が完了するまでに最大24時間かかる場合があります。
ドメインセキュリティー設定
HubSpot に接続されている各サブドメインのセキュリティー設定をカスタマイズできます。セキュリティー設定には、ウェブサイトのプロトコル(HTTP と HTTPS)、TLS バージョン、およびウェブサイトのセキュリティーヘッダーが含まれます。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
HTTPS プロトコル
サイトのすべてのページをHTTPSで安全に読み込むよう求めることができます。この設定が有効になっている場合は、HTTP経由で読み込まれるコンテンツ(画像やスタイルシートなど)がサイト上で読み込まれなくなります。HTTPS サイト上の HTTP 経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。ページ上の混在コンテンツエラーを解決する方法をご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで[HTTPSが必須]チェックボックスをオンにすると、ドメイン上の全てのページをHTTPではなくHTTPSで安全に読み込むことが必須になります。
- 完了したら、[保存]をクリックします。
![ドメインマネージャーに、ドメインセキュリティー設定の右側のパネルが表示されています。[HTTPSが必須]チェックボックスの周囲が線で囲まれています。](https://53.fs1.hubspotusercontent-na1.net/hub/53/hubfs/Knowledge_Base_2023-24-25/KB-domains-and-urls/domains-and-urls-domain-security-settings-require-https-1.png?width=450&height=266&name=domains-and-urls-domain-security-settings-require-https-1.png)
TLS バージョン
既定で、HubSpot サーバーは TLS 1.0 以降を使用した接続を受け入れます。最低設定より低い TLS バージョンを使用しようとする接続は失敗します。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで[TLSバージョン]ドロップダウンメニューをクリックし、オプションを1つ選択します。
- 完了したら、[保存]をクリックします。
セキュリティーヘッダー
ドメインセキュリティーを設定し、ドメインごとにセキュリティーヘッダーを有効にすることができます。
HTTP Strict Transport Security(HSTS)
HTTP Strict Transport Security(HSTS)を有効にすることで、ウェブサイトに余分なセキュリティーのレイヤーを追加できます。HSTS は、すべての HTTP リクエストを HTTPS リクエストに変換するようにブラウザーに指示します。HSTSを有効にすると、サブドメイン上のURLに対して行われるリクエストのレスポンスにHSTSヘッダーが追加されます。HSTSヘッダーについて詳しくご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- HSTSを有効にするには、[HTTP Strict Transport Security (HSTS)]チェックボックスをオンにします。
- HTTPリクエストからHTTPSリクエストに変換すべきことをブラウザーが記憶しておく時間の長さを編集するには、[期間(max-age)]ドロップダウンメニューをクリックして期間を1つ選択します。
- ドメインの HSTS ヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする] チェックボックスを有効にします。HSTS をプレロードする方法について説明します。
- 選択されたドメインに属する全てのサブドメインにHSTSヘッダーを含めるには、[サブドメインを含める]チェックボックスをオンにします。例えば、「www.examplewebsite.com」のHSTSが有効になっており、[サブドメインを含める]チェックボックスがオンになっている場合は、「cool.www.examplewebsite.com」でもHSTSが有効になります。
- 完了したら、[保存]をクリックします。
追加のドメインセキュリティー設定(Content Hubのみ)
Content Hub Starter、Professional、またはEnterpriseアカウントをご使用の場合は、以下の追加のセキュリティー設定を有効にできます。
X-Frame-Options
X-Frame-Optionsレスポンスヘッダーをオンにすると、ブラウザーで<frame>
、<iframe>
、<embed>
、または<object>
htmlタグ内にページをレンダリングできるかどうかを示せます。X-Frame-Optionsヘッダーの詳細をご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- X-Frame-Optionsを有効にするには、[X-Frame-Options]チェックボックスをオンにし、[ディレクティブ]ドロップダウンメニューをクリックしてオプションを1つ選択します。
- ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
- 貴社ドメイン上のページが貴社のドメインでのみ上記タグ内に読み込まれるようにするには、[sameorigin](同じオリジン)を選択します。
- 完了したら、[保存]をクリックします。
![[セキュリティーヘッダー]タブで、[X-Frame-Options]チェックボックスの周囲が線で囲まれています。1つの矢印が[ディレクティブ]ドロップダウンメニューを指し、ここでオプション(例:deny、sameorigin)を選択できます。](https://53.fs1.hubspotusercontent-na1.net/hub/53/hubfs/Knowledge_Base_2023-24-25/KB-domains-and-urls/domains-and-urls-domain-security-settings-security-headers-x-frame-options.png?width=450&height=117&name=domains-and-urls-domain-security-settings-security-headers-x-frame-options.png)
X-XSS-Protection
X-XSS-Protectionヘッダーを有効にすることで、古いウェブブラウザーのユーザー向けに1つのセキュリティーレイヤーを追加できます。X-XSS-Protectionを有効にすると、クロスサイトスクリプティングが検出された場合にページが読み込まれなくなります。X-XSS-Protectionヘッダーの詳細をご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- X-XSS-Protectionヘッダーを有効にするには、[X-XSS-Protection]チェックボックスをオンにしてから、[XSS設定]ドロップダウンメニューをクリックし、オプションを1つ選択します。
- XSSフィルタリングを無効にするには、[0]を選択します。
- クロスサイトスクリプティング攻撃が検出された場合にページの安全でない部分を除去するには、[1]を選択します。
- 攻撃が検出された場合にページのレンダリングを防止するには、[1; mode=block]を選択します。
- 完了したら、[保存]をクリックします。
![[セキュリティーヘッダー]タブで、[X-XSS-Protection]チェックボックスの周囲が線で囲まれています。1つの矢印が[XSS設定]ドロップダウンメニューを指し、ここでオプションを選択できます(例:0、1、1; mode=block)。](https://53.fs1.hubspotusercontent-na1.net/hub/53/hubfs/Knowledge_Base_2023-24-25/KB-domains-and-urls/domains-and-urls-domain-security-settings-security-headers-x-xss-protection.png?width=450&height=117&name=domains-and-urls-domain-security-settings-security-headers-x-xss-protection.png)
X-Content-Type-Options
X-Content-Type-Optionsヘッダーをオンにすると、MIMEタイプスニフィングからページをオプトアウトできます。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。X-Content-Type-Optionsヘッダーの詳細をご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- MIMEタイプスニフィングからページをオプトアウトするには、[X-Content-Type-Options]チェックボックスをオンにします。
- 完了したら、[保存]をクリックします。
Content-Security-Policy
Content-Security-Policyヘッダーをオンにすると、ユーザーエージェントがページに読み込むことのできるリソースを制御できます。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- ユーザーエージェントが読み込むことができるリソースを制御するには、[Content-Security-Policy]チェックボックスをオンにします。
- [ポリシーディレクティブ]フィールドにディレクティブを入力します。
- HubSpotがホスティングするページを完全に機能させるには、次の表に示すドメインとディレクティブを含める必要があります。
- 利用可能なその他のディレクティブのリストについては、MozillaのContent-Security-Policyヘッダーガイドをご覧ください。
- ウェブバージョンのマーケティングEメールでContent-Security-Policyヘッダーを使用するには、ここで説明するキーワードとして「unsafe-inline」を入力します。そうしない場合、Eメールからのスタイル設定はブロックされます。
- ランダムに生成されたヘッダー値に一致するノンス属性を含む場合にのみ
<script>
要素の実行を許可するには、[nonceを有効化]チェックボックスをオンにします。
- [ポリシーディレクティブ]フィールドにディレクティブを入力します。
- 完了したら、[保存]をクリックします。
注:HubSpotは、HubSpotからの全てのスクリプトと、HubSpotでホスティングされている全てのスクリプトについて、リクエストごとにランダム値を自動的に生成します。
HubSpotがホスティングするページを完全に機能させるには、次のドメインとディレクティブを含める必要があります。
ドメイン* | ディレクティブ | ツール |
*.hsadspixel.net | script-src | 広告 |
*.hs-analytics.net | script-src | アナリティクス(分析) |
*.hubapi.com | connect-src | API呼び出し(HubDB、フォーム送信) |
js.hscta.net | script-src、img-src、connect-src | CTA(ボタン) |
js-eu1.hscta.net(ヨーロッパのデータホスティングのみ) | script-src、img-src、connect-src | CTA(ボタン) |
no-cache.hubspot.com | img-src | CTA(ボタン) |
*.hubspot.com | script-src、img-src、connect-src、frame-src | CTA(ポップアップ)、チャットフロー |
*.hs-sites.com | frame-src | CTA(ポップアップ) |
*.hs-sites-eu1.com(ヨーロッパのデータのホスティングのみ) | frame-src | CTA(ポップアップ) |
static.hsappstatic.net | script-src | コンテンツ(スプロケットメニュー、動画の埋め込み) |
*.usemessages.com | script-src | コミュニケーション、チャットフロー |
*.hs-banner.com | script-src、connect-src | Cookieバナー |
*.hubspotusercontent##.net(##は00、10、20、30、40のいずれか) | script-src、img-src、style-src | ファイル |
*.hubspot.net | script-src、img-src、frame-src | ファイル |
play.hubspotvideo.com | frame-src | ファイル(ビデオ) |
play-eu1.hubspotvideo.com(ヨーロッパのデータのホスティングのみ) | frame-src | ファイル(ビデオ) |
cdn2.hubspot.net | img-src、style-src | ファイル、スタイルシート |
HubSpotに接続されている貴社ドメイン | frame-src、style-src、script-src | ファイル、スタイルシート |
*.hscollectedforms.net | script-src、connect-src | フォーム(HubSpot以外のフォーム) |
*.hsleadflows.net | script-src | フォーム(ポップアップフォーム) |
*.hsforms.net | script-src、img-src、frame-src | フォーム、アンケート |
*.hsforms.com | script-src、img-src、frame-src、connect-src、child-src | フォーム、アンケート |
*.hs-scripts.com | script-src | HubSpotトラッキングコード |
*.hubspotfeedback.com | script-src | アンケート |
feedback.hubapi.com | script-src | アンケート |
feedback-eu1.hubapi.com(ヨーロッパのデータホスティングのみ) | script-src | アンケート |
Content-Security-Policy-Report-Only
Content-Security-Policy-Report-Onlyヘッダーを有効にすると、ポリシーディレクティブを監視できます。ポリシーディレクティブは適用されませんが、その影響が監視されるので、ポリシーを使った実験を行う際に便利です。 Content-Security-Policy-Report-Onlyヘッダーの詳細をご確認ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- このヘッダーを有効にするには、[Content-Security-Policy-Report-Only]チェックボックスをオンにしてから、[ポリシー指示]を入力します。
- ランダムに生成されたヘッダー値に一致するノンス属性を含む場合にのみ
<script>
要素の実行を許可するには、[nonceを有効化]チェックボックスをオンにします。 - 完了したら、[保存]をクリックします。
Referrer-Policy
Referrer-Policyヘッダーを有効にすると、リクエストに含めるリファラー情報の量を制御できます。利用可能なディレクティブの定義については、MozillaのReferrer-Policyガイドをご覧ください。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- リクエストに含めるリファラー情報の量を制御するには、[Referrer-Policy]チェックボックスをオンにし、[ディレクティブ]ドロップダウンメニューをクリックして、オプションを1つ選択します。
- 完了したら、[保存]をクリックします。
Permissions-Policy
Permissions-Policyヘッダーを有効にすると、<iframe>
要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御できます。
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
- [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
- 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
- ブラウザー機能の使用を制御するには、[Permissions-Policy]チェックボックスをオンにして、自分のディレクティブを入力します。ディレクティブのリストについては、MozillaのPermissions-Policyガイドをご覧ください。
- 完了したら、[保存]をクリックします。