HubSpot Baza wiedzy

SSL i bezpieczeństwo domeny w HubSpot

Autor: HubSpot Support | Oct 19, 2021 8:11:27 AM

HubSpot automatycznie zapewnia standardowy certyfikat SSL SAN za pośrednictwem Google Trust Services po podłączeniu domeny do konta. Zwykle zajmuje to kilka minut, ale może potrwać do czterech godzin.

Jeśli zakupiłeś niestandardowy dodatek SSL, możesz przesłać niestandardowe certyfikaty SSL do HubSpot. Możesz także skonfigurować ustawienia zabezpieczeń dla każdej połączonej domeny, takie jak wersja TLS i nagłówki zabezpieczeń.

Uwaga: jeśli napotkasz błędy podczas procesu provisioningu SSL, dowiedz się więcej o rozwiązywaniu błędów certyfikatu SSL.

SSL

Standardowy certyfikat SSL SAN dostarczany przez HubSpot jest bezpłatny i odnawia się automatycznie 30 dni przed wygaśnięciem. Aby odnowić certyfikat:

  • Musisz być klientem HubSpot.
  • Domena CNAME musi być skierowana na bezpieczny serwer skonfigurowany w początkowym procesie.
Jeśli wolisz korzystać z innego dostawcy lub typu certyfikatu, możesz dodać niestandardowe certyfikaty SSL do swojego konta, kupując niestandardowy dodatek SSL. Nie można użyć wcześniej istniejącego certyfikatu SSL, ponieważ narusza to bezpieczeństwo certyfikatu.
Uwaga:
  • Google Trust Services to urząd certyfikacji, który zapewnia certyfikat dla Twojej domeny. Jeśli Twoja domena ma rekord autoryzacji urzędu certyfikacji (CAA), upewnij się, że pki.goog znajduje się na liście, aby można było zapewnić lub odnowić SSL.
  • Jeśli korzystasz z certyfikatu Let's Encrypt SSL, zaleca się usunięcie rekordu CAA, a następnie dodanie rekordu CAA w celu obsługi Google Trust Services. Zapewni to prawidłowe działanie witryny na starszych urządzeniach z systemem Android.

Wstępne przygotowanie certyfikatu SSL

Jeśli przenosisz istniejącą witrynę do HubSpot, możesz wstępnie przygotować certyfikat SSL, aby uniknąć przestojów SSL. Certyfikat SSL można wstępnie przygotować podczas podłączania domeny do HubSpot.

Aby wstępnie przygotować certyfikat SSL:

  • Na stronie Konfiguracja DNS procesu połączenia z domeną pojawi się baner, jeśli witryna ma istniejący certyfikat SSL. Kliknij Kliknij tutaj, aby rozpocząć proces dostarczania.



  • Postępuj zgodnie z instrukcjami wyświetlanymi w oknie dialogowym:
    • Zaloguj się do konta dostawcy DNS, takiego jak GoDaddy lub Namecheap.
    • U dostawcy DNS przejdź do ekranu ustawień DNS , gdzie zarządzasz rekordami DNS.
    • Utwórz nowe rekordy DNS zgodnie z oknem dialogowym, używając wartości Host (nazwa) i Value podanych w oknie dialogowym.

Uwaga: jeśli korzystasz z Network Solutions, Namecheap lub GoDaddy, nie musisz kopiować domeny głównej. Dostawca automatycznie doda domenę główną na końcu rekordu DNS.

  • Kliknij przycisk Weryfikuj. Przetwarzanie zmian może potrwać do czterech godzin. Jeśli po kliknięciu Weryfikuj pojawi się błąd, odczekaj kilka minut, a następnie kliknij Weryfikuj, aby sprawdzić ponownie.

Po wstępnym przydzieleniu certyfikatu na ekranie połączenia domeny pojawi się baner potwierdzenia. Następnie można kontynuować łączenie domeny.

Konfigurowanie rekordu walidacji kontroli domeny (DCV)

Jeśli w ustawieniach domeny pojawi się błąd informujący, że "domeny z odwrotnym proxy wymagają działania, aby uniknąć zakłóceń w działaniu witryny", zaleca się dodanie rekordu kontroli domeny (DCV), aby certyfikat SSL był aktualny.

Rekord DCV można dodać, wykonując następujące kroki:
  • W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Domeny i adresy URL.
  • Dla każdej domeny z etykietą Wymagane działanie kliknij menu rozwijane Edytuj i wybierz opcję Pokaż rekordy DNS.

  • W osobnym oknie zaloguj się do swojego dostawcy DNS i uzyskaj dostęp do swoich rekordów DNS. Szczegółowe instrukcje dotyczące edytowania rekordów DNS dla najpopularniejszych dostawców DNS można znaleźć w przewodniku konfiguracji DNS.
  • W HubSpot skopiuj wartości dla rekordu DCV w oknie dialogowym, a następnie wklej je do nowego rekordu na koncie dostawcy DNS. Aktualizacja zmian DNS może potrwać do 24 godzin.

Ustawienia zabezpieczeń domeny

Możesz dostosować ustawienia zabezpieczeń dla każdej subdomeny połączonej z HubSpot. Ustawienia zabezpieczeń obejmują protokół witryny (HTTP vs HTTPS), wersję TLS i nagłówki zabezpieczeń witryny.

Aby zaktualizować ustawienia zabezpieczeń domeny:

  • W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Domeny i adresy URL.
  • Obok domeny kliknij menu Akcje i wybierz opcję Aktualizuj ustawienia zabezpieczeń domeny.


Protokół HTTPS

Możesz wymagać, aby wszystkie strony w Twojej witrynie były bezpiecznie ładowane przez HTTPS. Po włączeniu tego ustawienia zawartość ładowana przez HTTP, taka jak obrazy i arkusze stylów, nie będzie ładowana w witrynie. Zawartość ładowana przez HTTP w witrynie HTTPS jest określana jako zawartość mieszana. Dowiedz się, jak rozwiązać błędy mieszanej zawartości na swojej stronie.

Aby włączyć protokół HTTPS, zaznaczpole wyboru Wymagaj HTTPS .

Wersja TLS

Domyślnie serwery HubSpot akceptują połączenie przy użyciu protokołu TLS 1.0 lub nowszego.

Aby zmienić obsługiwane wersje TLS, kliknij menu rozwijane Wersja TLS i wybierz najniższą wersję TLS , którą chcesz obsługiwać. Połączenia próbujące użyć wersji TLS niższej niż ustawione minimum zakończą się niepowodzeniem.

Nagłówki zabezpieczeń

Możesz skonfigurować zabezpieczenia domeny i włączyć nagłówki zabezpieczeń dla każdej domeny.

HTTP Strict Transport Security (HSTS)

Możesz dodać dodatkową warstwę zabezpieczeń do swojej witryny, włączając HTTP Strict Transport Security (HSTS). HSTS nakazuje przeglądarkom konwertowanie wszystkich żądań HTTP na żądania HTTPS. Włączenie HSTS dodaje nagłówek HSTS do odpowiedzi na żądania kierowane do adresów URL w subdomenie.

  • Aby włączyć HSTS, kliknij kartę Nagłówki zabezpieczeń, a następnie zaznacz pole wyboru HTTP Strict Transport Security (HSTS).


  • Aby ustawić, jak długo przeglądarki powinny pamiętać o konwersji żądań HTTP na HTTPS, kliknij menu rozwijane Czas trwania (max-age) i wybierz czas trwania.
  • Aby dołączyć dyrektywę preload do nagłówka HSTS domeny, zaznacz pole wyboru Włącz preload. Dowiedz się więcej o wstępnym ładowaniu HSTS.
  • Aby uwzględnić nagłówek HSTS we wszystkich subdomenach pod wybraną subdomeną, zaznacz pole wyboru Uwzględnij subdomeny. Na przykład, jeśli HSTS jest włączony dla www.examplewebsite.com i pole wyboru Uwzględnij subdomeny jest zaznaczone, cool.www.examplewebsite.com również będzie miał włączony HSTS.

Dowiedz się więcej o nagłówku HSTS.

Dodatkowe ustawienia zabezpieczeń domeny( tylkoContent Hub )

Jeśli posiadasz konto Content Hub Starter, Professional lub Enterprise , możesz włączyć dodatkowe ustawienia zabezpieczeń poniżej.

X-Frame-Options

Włącz nagłówek odpowiedzi X-Frame-Options, aby wskazać, czy przeglądarka może renderować stronę w znacznikach HTML <frame>, <iframe>, <embed> lub <object>.

Aby włączyć X-Frame-Options, zaznacz pole wyboru X-Frame-Options, a następnie wybierz dyrektywę z menu rozwijanego:

  • Aby uniemożliwić ładowanie stron w domenie użytkownika na dowolnej stronie w powyższych tagach, wybierz opcję deny.
  • Aby zezwolić stronom w domenie na ładowanie w powyższych tagach tylko w całej domenie, wybierz opcję sameorigin.



Dowiedz się więcej o nagłówku X-Frame-Options.

X-XSS-Protection

Włącz nagłówek X-XSS-Protection, aby dodać warstwę zabezpieczeń dla użytkowników starszych przeglądarek internetowych, uniemożliwiając ładowanie stron w przypadku wykrycia skryptów cross-site.

Aby włączyć ten nagłówek, zaznacz pole wyboru X-XSS-Protection, a następnie wybierz ustawienie XSS z menu rozwijanego:

  • Aby wyłączyć filtrowanie XSS, wybierz 0.
  • Aby usunąć niebezpieczne części strony po wykryciu ataku cross-site scripting, wybierz 1.
  • Aby zapobiec renderowaniu strony w przypadku wykrycia ataku, wybierz 1; mode=block.



Dowiedz się więcej o nagłówku X-XSS-Protection.

X-Content-Type-Options

Włącz nagłówek X-Content-Type-Options, aby zrezygnować ze sniffingu typów MIME. Włączenie tego ustawienia powoduje, że przeglądarka podąża za typami MIME reklamowanymi w nagłówkach Content-Type.

Dowiedz się więcej o nagłówku X-Content-Type-Options.

Content-Security-Policy

Włącz nagłówek Content-Security-Policy, aby kontrolować zasoby, które agent użytkownika może załadować na stronie. Nagłówek ten pomaga zapobiegać atakom typu cross-site scripting.

Aby włączyć nagłówek Content-Security-Policy, zaznacz pole wyboru Content-Security-Policy, a następnie określ dyrektywy polityki. Listę dostępnych dyrektyw można znaleźć w przewodniku po nagłówkach Content-Security-Policy Mozilli.

Aby użyć nagłówka Content-Security-Policy w internetowych wersjach e-maili marketingowych, należy dodać słowo kluczowe "unsafe-inline", jak opisano tutaj. W przeciwnym razie stylizacja z wiadomości e-mail zostanie zablokowana.

Aby zezwolić na wykonywanie elementów <script> tylko wtedy, gdy zawierają one atrybut nonce pasujący do losowo wygenerowanej wartości nagłówka, wybierz opcję Włącz nonce.

Uwaga: HubSpot automatycznie generuje losową wartość przy każdym żądaniu dla wszystkich skryptów z HubSpot i wszystkich skryptów hostowanych na HubSpot.

Aby zapewnić pełną funkcjonalność stron hostowanych przez HubSpot, należy uwzględnić następujące domeny i dyrektywy:

Domena* Dyrektywa(-y) Narzędzie
*.hsadspixel.net script-src Reklamy
*.hs-analytics.net script-src Analityka
*.hubapi.com connect-src Wywołania API (HubDB, przesyłanie formularzy)
js.hscta.net script-src, img-src, connect-src Wezwania do działania (przycisk)
js-eu1.hscta.net (tylko europejski hosting danych) script-src, img-src, connect-src Wezwania do działania (przycisk)
no-cache.hubspot.com img-src Wezwania do działania (przycisk)
*.hubspot.com script-src, img-src, connect-src, frame-src Wezwania do działania (pop-up), przepływy czatu
*.hs-sites.com frame-src Wezwania do działania (pop-up)
*.hs-sites-eu1.com (tylko europejski hosting danych) frame-src Wezwania do działania (pop-up)
static.hsappstatic.net script-src Zawartość (menu koła zębatego, osadzanie wideo)
*.usemessages.com script-src Rozmowy, przepływy czatu
*.hs-banner.com script-src, connect-src Baner plików cookie
*.hubspotusercontent##.net (## może być 00, 10, 20, 30 lub 40) script-src, img-src, style-src Pliki
*.hubspot.net script-src, img-src, frame-src Pliki
play.hubspotvideo.com frame-src Pliki (wideo)
play-eu1.hubspotvideo.com (tylko europejski hosting danych) frame-src Pliki (wideo)
cdn2.hubspot.net img-src, style-src Pliki, arkusze stylów
Twoja domena połączona z HubSpot frame-src, style-src, script-src Pliki, arkusze stylów
*.hscollectedforms.net script-src, connect-src Formularze (inne niż HubSpot)
*.hsleadflows.net script-src Formularze (wyskakujące formularze)
*.hsforms.net script-src, img-src, frame-src Formularze, ankiety
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Formularze, ankiety
*.hs-scripts.com script-src Kod śledzenia HubSpot
*.hubspotfeedback.com script-src Ankiety
feedback.hubapi.com script-src Ankiety
feedback-eu1.hubapi.com (tylko europejski hosting danych) script-src Ankiety

Content-Security-Policy-Report-Only

Włącz nagłówek Content-Security-Policy-Report-Only, aby monitorować dyrektywy polityki. Dyrektywy zasad nie będą egzekwowane, ale ich efekty będą monitorowane, co może być przydatne podczas eksperymentowania z zasadami.

Aby włączyć ten nagłówek, zaznacz pole wyboru Content-Security-Policy-Report-Only, a następnie wprowadź dyrektywy zasad.

Aby zezwolić na wykonywanie elementów <script> tylko wtedy, gdy zawierają one atrybut nonce pasujący do losowo wygenerowanej wartości nagłówka, wybierz opcję Włącz nonce.

Dowiedz się więcej o nagłówku Content-Security-Policy-Report-Only.

Referrer-Policy

Włącz nagłówek Referrer-Policy, aby kontrolować, ile informacji o odsyłających powinno być dołączanych do żądań.

Aby włączyć ten nagłówek, zaznacz pole wyboru Referrer-Policy, a następnie wybierz dyrektywę z menu rozwijanego.

Aby uzyskać definicję dostępnych dyrektyw, zobacz przewodnik Mozilla Referrer-Policy.

Uprawnienia - polityka

Włącz nagłówek Permissions-Policy, aby kontrolować użycie funkcji przeglądarki na stronie, w tym zawartości elementu <iframe>.

Aby włączyć ten nagłówek, zaznacz pole wyboru Permissions-Policy, a następnie wprowadź dyrektywy. Listę dyrektyw można znaleźć w przewodniku Mozilla Permissions-Policy.