SSL i bezpieczeństwo domeny w HubSpot
Data ostatniej aktualizacji: września 26, 2024
Dostępne z każdą z następujących podpisów, z wyjątkiem miejsc, w których zaznaczono:
Wszystkie produkty i plany |
HubSpot automatycznie zapewnia standardowy certyfikat SSL SAN za pośrednictwem Google Trust Services po podłączeniu domeny do konta. Zwykle zajmuje to kilka minut, ale może potrwać do czterech godzin.
Jeśli zakupiłeś niestandardowy dodatek SSL, możesz przesłać niestandardowe certyfikaty SSL do HubSpot. Możesz także skonfigurować ustawienia zabezpieczeń dla każdej połączonej domeny, takie jak wersja TLS i nagłówki zabezpieczeń.
Uwaga: jeśli napotkasz błędy podczas procesu provisioningu SSL, dowiedz się więcej o rozwiązywaniu błędów certyfikatu SSL.
SSL
Standardowy certyfikat SSL SAN dostarczany przez HubSpot jest bezpłatny i odnawia się automatycznie 30 dni przed wygaśnięciem. Aby odnowić certyfikat:
- Musisz być klientem HubSpot.
- Domena CNAME musi być skierowana na bezpieczny serwer skonfigurowany w początkowym procesie.
- Google Trust Services to urząd certyfikacji, który zapewnia certyfikat dla Twojej domeny. Jeśli Twoja domena ma rekord autoryzacji urzędu certyfikacji (CAA), upewnij się, że pki.goog znajduje się na liście, aby można było zapewnić lub odnowić SSL.
- Jeśli korzystasz z certyfikatu Let's Encrypt SSL, zaleca się usunięcie rekordu CAA, a następnie dodanie rekordu CAA w celu obsługi Google Trust Services. Zapewni to prawidłowe działanie witryny na starszych urządzeniach z systemem Android.
Wstępne przygotowanie certyfikatu SSL
Jeśli przenosisz istniejącą witrynę do HubSpot, możesz wstępnie przygotować certyfikat SSL, aby uniknąć przestojów SSL. Certyfikat SSL można wstępnie przygotować podczas podłączania domeny do HubSpot.
Aby wstępnie przygotować certyfikat SSL:
- Na stronie Konfiguracja DNS procesu połączenia z domeną pojawi się baner, jeśli witryna ma istniejący certyfikat SSL. Kliknij Kliknij tutaj, aby rozpocząć proces dostarczania.
- Postępuj zgodnie z instrukcjami wyświetlanymi w oknie dialogowym:
- Zaloguj się do konta dostawcy DNS, takiego jak GoDaddy lub Namecheap.
- U dostawcy DNS przejdź do ekranu ustawień DNS , gdzie zarządzasz rekordami DNS.
- Utwórz nowe rekordy DNS zgodnie z oknem dialogowym, używając wartości Host (nazwa) i Value podanych w oknie dialogowym.
Uwaga: jeśli korzystasz z Network Solutions, Namecheap lub GoDaddy, nie musisz kopiować domeny głównej. Dostawca automatycznie doda domenę główną na końcu rekordu DNS.
- Kliknij przycisk Weryfikuj. Przetwarzanie zmian może potrwać do czterech godzin. Jeśli po kliknięciu Weryfikuj pojawi się błąd, odczekaj kilka minut, a następnie kliknij Weryfikuj, aby sprawdzić ponownie.
Po wstępnym przydzieleniu certyfikatu na ekranie połączenia domeny pojawi się baner potwierdzenia. Następnie można kontynuować łączenie domeny.
Konfigurowanie rekordu walidacji kontroli domeny (DCV)
Jeśli w ustawieniach domeny pojawi się błąd informujący, że "domeny z odwrotnym proxy wymagają działania, aby uniknąć zakłóceń w działaniu witryny", zaleca się dodanie rekordu kontroli domeny (DCV), aby certyfikat SSL był aktualny.
Rekord DCV można dodać, wykonując następujące kroki:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym.
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Domeny i adresy URL.
- Dla każdej domeny z etykietą Wymagane działanie kliknij menu rozwijane Edytuj i wybierz opcję Pokaż rekordy DNS.
- W osobnym oknie zaloguj się do swojego dostawcy DNS i uzyskaj dostęp do swoich rekordów DNS. Szczegółowe instrukcje dotyczące edycji rekordów DNS dla najpopularniejszych dostawców DNS można znaleźć w przewodniku konfiguracji DNS.
- W HubSpot skopiuj wartości dla rekordu DCV w oknie dialogowym, a następnie wklej je do nowego rekordu na koncie dostawcy DNS. Aktualizacja zmian DNS może potrwać do 24 godzin.
Ustawienia zabezpieczeń domeny
Możesz dostosować ustawienia zabezpieczeń dla każdej subdomeny połączonej z HubSpot. Ustawienia zabezpieczeń obejmują protokół witryny (HTTP vs HTTPS), wersję TLS i nagłówki zabezpieczeń witryny.
Aby zaktualizować ustawienia zabezpieczeń domeny:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym.
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Domeny i adresy URL.
- Obok domeny kliknij menu Akcje i wybierz opcję Aktualizuj ustawienia zabezpieczeń domeny.
Protokół HTTPS
Możesz wymagać, aby wszystkie strony w Twojej witrynie były bezpiecznie ładowane przez HTTPS. Po włączeniu tego ustawienia zawartość ładowana przez HTTP, taka jak obrazy i arkusze stylów, nie będzie ładowana w witrynie. Zawartość ładowana przez HTTP w witrynie HTTPS jest określana jako zawartość mieszana. Dowiedz się, jak rozwiązać błędy mieszanej zawartości na swojej stronie.
Aby włączyć protokół HTTPS, zaznaczpole wyboru Wymagaj HTTPS .
Wersja TLS
Domyślnie serwery HubSpot akceptują połączenie przy użyciu protokołu TLS 1.0 lub nowszego.
Aby zmienić obsługiwane wersje TLS, kliknij menu rozwijane Wersja TLS i wybierz najniższą wersję TLS , którą chcesz obsługiwać. Połączenia próbujące użyć wersji TLS niższej niż ustawione minimum zakończą się niepowodzeniem.
Nagłówki zabezpieczeń
Możesz skonfigurować zabezpieczenia domeny i włączyć nagłówki zabezpieczeń dla każdej domeny.
HTTP Strict Transport Security (HSTS)
Możesz dodać dodatkową warstwę zabezpieczeń do swojej witryny, włączając HTTP Strict Transport Security (HSTS). HSTS nakazuje przeglądarkom konwertowanie wszystkich żądań HTTP na żądania HTTPS. Włączenie HSTS dodaje nagłówek HSTS do odpowiedzi na żądania kierowane do adresów URL w subdomenie.
- Aby włączyć HSTS, kliknij kartę Nagłówki zabezpieczeń, a następnie zaznacz pole wyboru HTTP Strict Transport Security (HSTS).
- Aby ustawić, jak długo przeglądarki powinny pamiętać o konwersji żądań HTTP na HTTPS, kliknij menu rozwijane Czas trwania (max-age) i wybierz czas trwania.
- Aby dołączyć dyrektywę preload do nagłówka HSTS domeny, zaznacz pole wyboru Włącz preload. Dowiedz się więcej o wstępnym ładowaniu HSTS.
- Aby uwzględnić nagłówek HSTS we wszystkich subdomenach pod wybraną subdomeną, zaznacz pole wyboru Uwzględnij subdomeny. Na przykład, jeśli HSTS jest włączony dla www.examplewebsite.com i pole wyboru Uwzględnij subdomeny jest zaznaczone, cool.www.examplewebsite.com również będzie miał włączony HSTS .
Dowiedz się więcej o nagłówku HSTS.
Dodatkowe ustawienia zabezpieczeń domeny( tylkoContent Hub )
Jeśli posiadasz konto Content Hub Starter, Professional lub Enterprise , możesz włączyć dodatkowe ustawienia zabezpieczeń poniżej.
X-Frame-Options
Włącz nagłówek odpowiedzi X-Frame-Options, aby wskazać, czy przeglądarka może renderować stronę w znacznikach HTML <frame>, <iframe>, <embed> lub <object>.
Aby włączyć X-Frame-Options, zaznacz pole wyboru X-Frame-Options, a następnie wybierz dyrektywę z menu rozwijanego:
- Aby uniemożliwić ładowanie stron w domenie użytkownika na dowolnej stronie w powyższych tagach, wybierz opcję deny.
- Aby zezwolić stronom w domenie na ładowanie w powyższych tagach tylko w całej domenie, wybierz opcję sameorigin.
Dowiedz się więcej o nagłówku X-Frame-Options.
X-XSS-Protection
Włącz nagłówek X-XSS-Protection, aby dodać warstwę zabezpieczeń dla użytkowników starszych przeglądarek internetowych, uniemożliwiając ładowanie stron w przypadku wykrycia cross-site scripting.
Aby włączyć ten nagłówek, zaznacz pole wyboru X-XSS-Protection, a następnie wybierz ustawienie XSS z menu rozwijanego:
- Aby wyłączyć filtrowanie XSS, wybierz 0.
- Aby usunąć niebezpieczne części strony po wykryciu ataku cross-site scripting, wybierz 1.
- Aby zapobiec renderowaniu strony w przypadku wykrycia ataku, wybierz 1; mode=block.
Dowiedz się więcej o nagłówku X-XSS-Protection.
X-Content-Type-Options
Włącz nagłówek X-Content-Type-Options, aby zrezygnować ze sniffingu typów MIME. Włączenie tego ustawienia powoduje, że przeglądarka podąża za typami MIME reklamowanymi w nagłówkach Content-Type.
Dowiedz się więcej o nagłówku X-Content-Type-Options.
Content-Security-Policy
Włącz nagłówek Content-Security-Policy, aby kontrolować zasoby, które agent użytkownika może załadować na stronie. Nagłówek ten pomaga zapobiegać atakom typu cross-site scripting.
Aby włączyć nagłówek Content-Security-Policy, zaznacz pole wyboru Content-Security-Policy, a następnie określ dyrektywy polityki. Listę dostępnych dyrektyw można znaleźć w przewodniku po nagłówkach Content-Security-Policy Mozilli.
Aby zezwolić na wykonywanie elementów <script> tylko wtedy, gdy zawierają one atrybut nonce pasujący do losowo wygenerowanej wartości nagłówka, wybierz opcję Włącz nonce.
Uwaga: HubSpot automatycznie generuje losową wartość przy każdym żądaniu dla wszystkich skryptów z HubSpot i wszystkich skryptów hostowanych w HubSpot.
Aby zapewnić pełną funkcjonalność stron hostowanych przez HubSpot, należy uwzględnić następujące domeny i dyrektywy:
Domena* | Dyrektywa(-y) | Narzędzie |
*.hsadspixel.net | script-src | Reklamy |
*.hs-analytics.net | script-src | Analityka |
*.hubapi.com | connect-src | Wywołania API (HubDB, przesyłanie formularzy) |
js.hscta.net | script-src, img-src, connect-src | Wezwanie do działania (przycisk) |
js-eu1.hscta.net (tylko europejski hosting danych) | script-src, img-src, connect-src | Wezwania do działania (przycisk) |
no-cache.hubspot.com | img-src | Wezwanie do działania (przycisk) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Wezwania do działania (pop-up), przepływy czatu |
*.hs-sites.com | frame-src | Wezwania do działania (pop-up) |
*.hs-sites-eu1.com (tylko europejski hosting danych) | frame-src | Wezwania do działania (pop-up) |
static.hsappstatic.net | script-src | Zawartość (menu koła zębatego, osadzanie wideo) |
*.usemessages.com | script-src | Rozmowy, przepływy czatu |
*.hs-banner.com | script-src, connect-src | Baner plików cookie |
*.hubspotusercontent##.net (## może być 00, 10, 20, 30 lub 40) | script-src, img-src, style-src | Pliki |
*.hubspot.net | script-src, img-src, frame-src | Pliki |
play.hubspotvideo.com | frame-src | Pliki (wideo) |
play-eu1.hubspotvideo.com (tylko europejski hosting danych) | frame-src | Pliki (wideo) |
cdn2.hubspot.net | img-src, style-src | Pliki, arkusze stylów |
Twoja domena połączona z HubSpot | frame-src, style-src, script-src | Pliki, arkusze stylów |
*.hscollectedforms.net | script-src, connect-src | Formularze (inne niż HubSpot) |
*.hsleadflows.net | script-src | Formularze (wyskakujące formularze) |
*.hsforms.net | script-src, img-src, frame-src | Formularze, ankiety |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formularze, ankiety |
*.hs-scripts.com | script-src | Kod śledzenia HubSpot |
*.hubspotfeedback.com | script-src | Ankiety |
feedback.hubapi.com | script-src | Ankiety |
feedback-eu1.hubapi.com (tylko europejski hosting danych) | script-src | Ankiety |
Content-Security-Policy-Report-Only
Włącz nagłówek Content-Security-Policy-Report-Only, aby monitorować dyrektywy polityki. Dyrektywy zasad nie będą egzekwowane, ale ich efekty będą monitorowane, co może być przydatne podczas eksperymentowania z zasadami.
Aby włączyć ten nagłówek, zaznacz pole wyboru Content-Security-Policy-Report-Only, a następnie wprowadź dyrektywy zasad.
Aby zezwolić na wykonywanie elementów <script> tylko wtedy, gdy zawierają one atrybut nonce pasujący do losowo wygenerowanej wartości nagłówka, wybierz opcję Włącz nonce.
Dowiedz się więcej o nagłówku Content-Security-Policy-Report-Only.
Referrer-Policy
Włącz nagłówek Referrer-Policy, aby kontrolować, ile informacji o odsyłających powinno być dołączanych do żądań.
Aby włączyć ten nagłówek, zaznacz pole wyboru Referrer-Policy, a następnie wybierz dyrektywę z menu rozwijanego.
Aby uzyskać definicję dostępnych dyrektyw, zobacz przewodnik Mozilla Referrer-Policy.
Uprawnienia - polityka
Włącz nagłówek Permissions-Policy, aby kontrolować użycie funkcji przeglądarki na stronie, w tym zawartości elementu <iframe>.
Aby włączyć ten nagłówek, zaznacz pole wyboru Permissions-Policy, a następnie wprowadź dyrektywy. Listę dyrektyw można znaleźć w przewodniku Mozilla Permissions-Policy.