Domains & URLs

SSL en domeinbeveiliging in HubSpot

Laatst bijgewerkt: oktober 20, 2020

Geldt voor:

Hub  Starter, Professional, Enterprise
CMS Hub  Professional, Enterprise
Legacy Marketing Hub Basic

Wanneer u een domein aan uw account koppelt, voorziet HubSpot automatisch een standaard SAN SSL-certificaat via DigiCert. Dit duurt meestal enkele minuten, maar kan tot vier uur duren. Als u de aangepaste SSL add-on hebt aangeschaft, kunt u aangepaste SSL-certificaten uploaden naar HubSpot.

Voor elk aangesloten domein kunt u ook beveiligingsinstellingen configureren, zoals TLS-versie en beveiligingsheaders.

Let op: als u fouten tegenkomt tijdens het SSL-provisioneringsproces, zie HubSpot's probleemoplossingsgids voor SSL-certificaatfouten.

SSL

Standaard SAN SSL die via HubSpot wordt geleverd is gratis en zal het certificaat 30 dagen voor de vervaldatum automatisch verlengen. Om het certificaat te verlengen, moeten beide voorwaarden waar zijn:

  • U bent nog steeds klant van HubSpot.
  • U heeft uw domein CNAME nog steeds aangeduid met de beveiligde server die in het begin van het proces is opgezet.
Als u echter liever een andere provisioner of een ander type certificaat gebruikt, kunt u aangepaste SSL-certificaten aan uw account toevoegen door de aangepaste SSL-add-on aan te schaffen. U kunt geen gebruik maken van een reeds bestaand SSL-certificaat, omdat dit de veiligheid van het certificaat in gevaar zou brengen.

Let op: DigiCert is de certificaatautoriteit die een certificaat voor uw domein beschikbaar stelt. Als uw domein een Certificaat Autoriteit Autorisatie (CAA) record heeft, zorg er dan voor dat digicert.com wordt vermeld zodat SSL kan worden verstrekt of verlengd.

Pre-provisie van uw SSL-certificaat

Als u uw bestaande site verplaatst naar HubSpot, wilt u misschien een SSL-certificaat pre-provisioneren zodat er geen SSL-uitvaltijd is. U kunt een SSL-certificaat pre-provisioneren terwijl u een domein verbindt met HubSpot.

Om een SSL-certificaat voor te bereiden:

  • Op de DNS Setup pagina van het domeinverbindingsproces verschijnt een banner als uw site een bestaand SSL-certificaat heeft. Klik hier om het provisioneringsproces te starten.

    pre-provision-ssl-certificate
  • Volg de instructies in het dialoogvenster:
    • Log in op uw DNS-provideraccount, zoals GoDaddy of Namecheap.
    • Navigeer in uw DNS-provider naar het scherm DNS-instellingen waar u uw DNS-records beheert.
    • Maak nieuwe DNS-records aan volgens het dialoogvenster met behulp van de Host (naam) en de waarde in het dialoogvenster.

Let op: Als u gebruik maakt van Network Solutions, Namecheap of GoDaddy, hoeft u alleen maar alles te kopiëren tot en met het subdomein. Uw provider zal uw merkdomein en topleveldomein automatisch toevoegen aan het einde van het DNS-record.

  • Klik op Verifiëren. Het kan tot vier uur duren voordat uw wijzigingen verwerkt zijn. Als u een fout krijgt als u op Verify klikt, wacht dan een paar minuten en klik dan op Verify om het opnieuw te controleren.

Zodra uw certificaat is voorgeprogrammeerd, verschijnt er een bevestigingsbanner in het scherm van de domeinverbinding. U kunt dan verder gaan met het verbinden van uw domein.

ssl-pre-provision-success

Domeinbeveiligingsinstellingen

U kunt de beveiligingsinstellingen aanpassen voor elk subdomein dat is aangesloten op HubSpot. De beveiligingsinstellingen omvatten uw websiteprotocol (HTTP vs. HTTPS), TLS-versie en uw websitebeveiligingsheaders.

Om de beveiligingsinstellingen van een domein bij te werken:

  • Klik in uw HubSpot-account op de instellingenpictogram settings in de hoofdnavigatiebalk.
  • Navigeer in het menu aan de linkerzijde naar CMS > Domeinen & URL's.
  • Klik op Bewerken naast het domein en selecteer vervolgens Domeinbeveiligingsinstellingen bijwerken.
update-domain-security-settings

HTTPS-protocol

Standaard maakt HubSpot het HTTPS-protocol mogelijk zodra SSL is voorzien. Hierdoor worden de bezoekers van uw site automatisch naar de beveiligde https-versie van uw site gestuurd, in plaats van naar het onveilige http.

Zodra dit is ingeschakeld, wordt de inhoud die via HTTP wordt geladen, zoals afbeeldingen en stylesheets, niet meer op uw site geladen. Inhoud die via HTTP op een HTTPS-site wordt geladen, wordt gemengde inhoud genoemd. Leer hoe u gemengde inhoudsfouten op uw pagina kunt oplossen.

Om het HTTPS-protocol uit te schakelen, moet u de Vereist HTTPS Vinkje.


require-https


TLS-versie

Standaard accepteren HubSpot servers een verbinding met TLS 1.0 en hoger.

Om te wijzigen welke TLS-versies worden ondersteund, klikt u op het vervolgkeuzemenu TLS-versie en selecteert u de laagste TLS-versie die u wilt ondersteunen. Verbindingen die proberen een TLS-versie te gebruiken die lager is dan de minimumset, zullen mislukken.

TLS-version

Beveiligingskoppen

Configureer de beveiliging van uw domein door de instellingen van de header per domein in te schakelen.

HTTP Strict Transport Security (HSTS)

U kunt een extra beveiligingslaag aan uw website toevoegen door HTTP Strict Transport Security (HSTS) in te schakelen. HSTS instrueert browsers om alle HTTP-verzoeken om te zetten in HTTPS-verzoeken. Door HSTS in te schakelen, wordt de HSTS-header toegevoegd aan de antwoorden op de verzoeken die aan de URL's op het subdomein worden gedaan.

  • Om HSTS in te schakelen, klikt u op het tabblad Beveiligingskoppen en selecteert u vervolgens het selectievakje HTTP Strict Transport Security (HSTS).


security-HSTS-setting

  • Om in te stellen hoe lang browsers moeten onthouden om HTTP- naar HTTPS-verzoeken om te zetten, klikt u op het vervolgkeuzemenu Duur (max-age) en selecteert u een duur.
  • Om de preload richtlijn in de HSTS header van het domein op te nemen, selecteert u het selectievakje Inschakelen van de preload. Meer informatie over HSTS preloading.
  • Om de HSTS-header in alle subdomeinen onder het geselecteerde subdomein op te nemen, schakelt u het selectievakje Inclusief subdomeinen in. Als HSTS bijvoorbeeld is ingeschakeld voor www.examplewebsite.com en het selectievakje Opname subdomeinen is geselecteerd, zal cool.www.examplewebsite.com ook HSTS hebben ingeschakeld.

Lees meer over de HSTS-header.

Extra domeinbeveiligingsinstellingen (CMS Hub Alleen voor ondernemingen )

Als u een CMS Hub Enterprise account, kunt u de extra beveiligingsinstellingen hieronder inschakelen.

X-Frame-Opties

Schakel de X-Frame-Options response header in om aan te geven of een browser een pagina kan weergeven in <frame>, <iframe>, <embed>, of <object> HTML-tags.

Om X-Frame-Opties in te schakelen, selecteert u het selectievakje X-Frame-Opties en selecteert u vervolgens een Richtlijn in het vervolgkeuzemenu:

  • Om te voorkomen dat pagina's op uw domein worden geladen op een pagina in de bovenstaande tags, selecteert u weigeren.
  • Om pagina's op uw domein te laten laden in de bovenstaande tags alleen in uw domein, selecteert u sameorigin.

    x-frame-options-setting

Lees meer over de koptekst van de X-Frame-Opties.

X-XSS-Protection

Schakel de X-XSS-Protection header in om een beveiligingslaag toe te voegen voor gebruikers van oudere webbrowsers door te voorkomen dat pagina's worden geladen wanneer cross-site scripting wordt gedetecteerd.

Om deze koptekst in te schakelen, selecteert u het selectievakje X-XSS-Protection en selecteert u vervolgens een XSS-instelling in het vervolgkeuzemenu:

  • Om XSS-filtering uit te schakelen, selecteert u 0.
  • Om de onveilige delen van een pagina te verwijderen wanneer een cross-site scripting aanval wordt gedetecteerd, selecteert u 1.
  • Om te voorkomen dat een pagina wordt weergegeven als er een aanval wordt gedetecteerd, selecteert u 1; modus=blokkering.

    x-xss-protection-header

Lees meer over de X-XSS-Protection-header.

X-Content-Type-Opties

Schakel de X-Content-Type-Opties header in om pagina's van MIME-type snuiven uit te schakelen. Door deze instelling in te schakelen wordt de browser verteld dat hij de MIME-types moet volgen die in de Content-Type-headers worden geadverteerd.

x-content-type-options

Lees meer over de koptekst van de X-Content-Type-Opties.

Inhoud - Veiligheid - Beleid

Schakel de Content-Security-Policy header in om middelen te controleren die de gebruikersagent op een pagina kan laden. Deze header helpt om cross-site scripting aanvallen te voorkomen.

Om de header Content-Security-Policy in te schakelen, selecteert u het selectievakje Content-Security-Policy en specificeert u vervolgens uwbeleidsrichtlijnen. Voor een lijst met beschikbare richtlijnen raadpleegt u de koptekst Inhoud, veiligheid en beleid van Mozilla.

Om <script>-elementen alleen uit te laten voeren als ze een nonce-attribuut bevatten dat overeenkomt met de willekeurig gegenereerde headerwaarde, selecteert u Enable nonce.


content-security-policy-header

Inhoud - Veiligheid - Beleid - Verslag - Alleen

Maak de header Content-Security - Beleid - Uitsluitend voor de controle van beleidsrichtlijnen mogelijk. Beleidsrichtlijnen zullen niet worden gehandhaafd, maar de effecten zullen worden gemonitord, wat nuttig kan zijn bij het experimenteren met beleid.

Om deze header in te schakelen, selecteert u het selectievakje Inhoud, Veiligheid, Beleid en Rapportage en voert u vervolgens uw beleidsrichtlijnen in.

Om <script>-elementen alleen uit te laten voeren als ze een nonce-attribuut bevatten dat overeenkomt met de willekeurig gegenereerde headerwaarde, selecteert u Enable nonce.

content-security-policy-report-only-header

Lees meer over de koptekst Inhoud, Veiligheid, Beleid en Rapportage.

Referrer-Policy

Laat de header van het Referrer-Policy toe om te controleren hoeveel referrer informatie bij de aanvragen moet worden gevoegd.

Om deze header in te schakelen, selecteert u het selectievakje Referrer-Policy en selecteert u vervolgens een Richtlijn in het dropdown-menu.

referrer-policy-headerVoor een definitie van de beschikbare richtlijnen, zie Mozilla's Referrer-Policy guide.

Feature-Policy

Schakel de Feature-Policy header in om het gebruik van browserfuncties op de pagina te regelen, inclusief <iframe> elementinhoud.

Om deze header in te schakelen, selecteert u het vakje Feature-Policy en voert u vervolgens uw richtlijnen in. Voor een lijst met richtlijnen, zie Mozilla's Feature-Policy-gids.

feature-policy-header