HubSpot sørger automatisk for et standard SAN SSL-sertifikat gjennom Google Trust Services når du kobler et domene til kontoen din. Dette tar vanligvis noen minutter, men kan ta opptil fire timer.
Hvis du har kjøpt det egendefinerte SSL-tillegget, kan du laste opp egendefinerte SSL-sertifikater til HubSpot. Du kan også konfigurere sikkerhetsinnstillinger for hvert tilkoblede domene, for eksempel TLS-versjon og sikkerhetsoverskrifter.
Merk: Hvis du støter på feil under SSL-klargjøringsprosessen, kan du lese mer om feilsøking av SSL-sertifikatfeil.
Hvis du flytter et eksisterende nettsted til HubSpot, kan det være lurt å forhåndsbestille et SSL-sertifikat slik at du unngår SSL-nedetid. Du kan forhåndsbestille et SSL-sertifikat mens du kobler et domene til HubSpot.
For å forhåndsbestille et SSL-sertifikat:
Merk: Hvis du bruker Network Solutions, Namecheap eller GoDaddy, trenger du ikke å kopiere rotdomenet. Leverandøren din vil automatisk legge til et rotdomene på slutten av DNS-posten.
Når sertifikatet er klargjort på forhånd, vises et bekreftelsesbanner i skjermbildet for domenetilkobling. Du kan deretter fortsette å koble til domenet.
Hvis du ser en feilmelding i domeneinnstillingene som sier at "Reverse proxy-domener trenger din hjelp for å unngå forstyrrelser på nettstedet", anbefaler vi at du legger til en DCV-oppføring (Domain Control Validation) for å holde SSL-sertifikatet oppdatert.
Du kan tilpasse sikkerhetsinnstillingene for hvert underdomene som er koblet til HubSpot. Sikkerhetsinnstillingene omfatter nettstedets protokoll (HTTP vs. HTTPS), TLS-versjon og nettstedets sikkerhetsoverskrifter.
Slik oppdaterer du sikkerhetsinnstillingene for et domene:
Du kan kreve at alle sider på nettstedet ditt lastes inn sikkert via HTTPS. Når denne innstillingen er aktivert, vil innhold som lastes inn via HTTP, for eksempel bilder og stilark, ikke lastes inn på nettstedet. Innhold som lastes inn via HTTP på et HTTPS-nettsted, kalles blandet innhold. Finn ut hvordan du løser feil med blandet innhold på siden din.
Hvis du vil slå på HTTPS-protokollen, merker duav for Krev HTTPS .
Som standard aksepterer HubSpot-servere en tilkobling med TLS 1.0 og nyere.
Hvis du vil endre hvilke TLS-versjoner som støttes, klikker du på rullegardinmenyen TLS-versjon og velger den laveste TL S-versjonen du vil støtte. Tilkoblinger som forsøker å bruke en TLS-versjon som er lavere enn minimumsversjonen, vil mislykkes.
Du kan konfigurere domenesikkerheten og aktivere sikkerhetsoverskrifter for hvert domene.
Du kan legge til et ekstra sikkerhetslag på nettstedet ditt ved å aktivere HTTP Strict Transport Security (HSTS). HSTS instruerer nettlesere om å konvertere alle HTTP-forespørsler til HTTPS-forespørsler i stedet. Når du aktiverer HSTS, legges HSTS-overskriften til i svarene for forespørsler til nettadressene på underdomenet.
Finn ut mer om HSTS-headeren.
Hvis du har en Content Hub Starter-, Professional- eller Enterprise-konto , kan du aktivere de ekstra sikkerhetsinnstillingene nedenfor.
Slå på svaroverskriften X-Frame-Options for å angi om en nettleser kan gjengi en side i HTML-taggene <frame>, <iframe>, <embed> eller <object>.
For å aktivere X-Frame-Options merker du av for X-Frame-Options og velger deretter et direktiv fra rullegardinmenyen:
Finn ut mer om overskriften X-Frame-Options.
Slå på overskriften X-XSS-Protection for å øke sikkerheten for brukere av eldre nettlesere ved å hindre at sider lastes inn når skripting på tvers av nettsteder oppdages.
Hvis du vil aktivere denne overskriften, merker du av for X-XSS-beskyttelse og velger deretter en XSS-innstilling fra rullegardinmenyen:
Finn ut mer om X-XSS-Protection-headeren.
Slå på overskriften X-Content-Type-Options for å velge bort sniffing av MIME-typer. Hvis du aktiverer denne innstillingen, blir nettleseren bedt om å følge MIME-typene som annonseres i Content-Type-overskriftene.
Finn ut mer om overskriften X-Content-Type-Options.
Slå på overskriften Content-Security-Policy for å kontrollere ressursene som brukeragenten kan laste inn på en side. Denne overskriften bidrar til å forhindre skriptangrep på tvers av nettsteder.
Hvis du vil aktivere overskriften Content-Security-Policy, merker du av for Content-Security-Policy og angir deretterretningslinjedirektivene. Hvis du vil ha en liste over tilgjengelige direktiver, kan du se Mozillas veiledning for innholdssikkerhetsretningslinjer.
Hvis du vil tillate at <script>-elementer bare kjøres hvis de inneholder et nonce-attributt som samsvarer med den tilfeldig genererte topptekstverdien, velger du Aktiver nonce.
Merk: HubSpot genererer automatisk en tilfeldig verdi ved hver forespørsel for alle skript fra HubSpot og alle skript som hostes på HubSpot.
Følgende domener og direktiver bør inkluderes for å sikre full funksjonalitet på HubSpot-hostede sider:
Domene* | Direktiv(er) | Verktøy |
*.hsadspixel.net | script-src | Annonser |
*.hs-analytics.net | script-src | Analyse |
*.hubapi.com | connect-src | API-anrop (HubDB, skjemainnleveringer) |
js.hscta.net | skript-src, img-src, connect-src | Oppfordringer til handling (knapp) |
js-eu1.hscta.net (kun europeisk datahosting) | skript-src, img-src, connect-src | Oppfordringer til handling (knapp) |
no-cache.hubspot.com | img-src | Oppfordringer til handling (knapp) |
*.hubspot.com | skript-src, img-src, connect-src, frame-src | Oppfordringer til handling (pop-up), chatteflows |
*.hs-sites.com | frame-src | Oppfordringer til handling (pop-up) |
*.hs-sites-eu1.com (kun europeisk datahosting) | frame-src | Oppfordringer til handling (pop-up) |
static.hsappstatic.net | script-src | Innhold (sprocket-meny, innebygging av video) |
*.usemessages.com | script-src | Samtaler, chatflyter |
*.hs-banner.com | script-src, connect-src | Banner for informasjonskapsler |
*.hubspotusercontent##.net (## kan være 00, 10, 20, 30 eller 40) | skript-src, img-src, style-src | Filer |
*.hubspot.net | skript-src, img-src, frame-src | Filer |
play.hubspotvideo.com | frame-src | Filer (videoer) |
play-eu1.hubspotvideo.com (kun europeisk datahosting) | frame-src | Filer (videoer) |
cdn2.hubspot.net | img-src, style-src | Filer, stilark |
Domenet ditt er koblet til HubSpot | ramme-src, stil-src, skript-src | Filer, stilark |
*.hscollectedforms.net | script-src, connect-src | Skjemaer (ikke-HubSpot-skjemaer) |
*.hsleadflows.net | script-src | Skjemaer (popup-skjemaer) |
*.hsforms.net | skript-src, img-src, frame-src | Skjemaer, spørreundersøkelser |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Skjemaer, spørreundersøkelser |
*.hs-scripts.com | script-src | HubSpot-sporingskode |
*.hubspotfeedback.com | script-src | Undersøkelser |
feedback.hubapi.com | script-src | Undersøkelser |
feedback-eu1.hubapi.com (kun europeisk datahosting) | script-src | Undersøkelser |
Slå på overskriften Content-Security-Policy-Report-Only for å overvåke retningslinjedirektiver. Retningslinjedirektiver vil ikke bli håndhevet, men effekten vil bli overvåket, noe som kan være nyttig når du eksperimenterer med retningslinjer.
Hvis du vil aktivere denne overskriften, merker du av i avmerkingsboksen Content-Security-Policy-Report-Only og angir deretter policy-direktivene.
Hvis du vil tillate at <script>-elementer bare kjøres hvis de inneholder et nonce-attributt som samsvarer med den tilfeldig genererte topptekstverdien, velger du Slå på nonce.
Finn ut mer om toppteksten Content-Security-Policy-Report-Only.
Slå på Referrer-Policy-headeren for å kontrollere hvor mye informasjon om henviseren som skal inkluderes i forespørsler.
Hvis du vil aktivere denne overskriften, merker du av for Referrer-Policy og velger deretter et direktiv fra rullegardinmenyen.
Slå på overskriften Permissions-Policy for å kontrollere bruken av nettleserfunksjoner på siden, inkludert innhold i <iframe>-elementer.
Hvis du vil aktivere denne overskriften, merker du av i avmerkingsboksen Permissions-Policy og angir deretter direktivene. Du finner en liste over direktiver i Mozillas veiledning om retningslinjer for tillatelser.