Ir para o conteúdo principal
HubSpot Central de conhecimento
Isenção de responsabilidade de tradução: esse conteúdo foi traduzido para sua conveniência com o uso de software e pode não ter sido revisado por uma pessoa. O texto oficial é a versão em inglês e sempre será o texto mais atualizado. Para ver a versão em inglês, clique aqui.

SSL e segurança de domínio no HubSpot

Ultima atualização: Junho 9, 2023

Disponível com qualquer uma das seguintes assinaturas, salvo menção ao contrário:

Todos os produtos e planos

O HubSpot provisiona automaticamente um certificado SAN SSL padrão através do Google Trust Services quando você conecta um domínio à sua conta. Isso geralmente leva alguns minutos, mas pode levar até quatro horas.

Se tiver comprado o complemento SSL personalizado, pode carregar certificados SSL personalizados para o HubSpot. Você também pode definir as configurações de segurança para cada domínio conectado, como a versão TLS e os cabeçalhos de segurança.

Nota: se encontrar erros durante o processo de aprovisionamento SSL, saiba mais sobre resolução de problemas de erros de certificados SSL.

SSL

O SSL SAN padrão fornecido pela HubSpot é gratuito e é renovado automaticamente 30 dias antes da expiração. Para renovar o certificado:

  • Você deve ser um cliente da HubSpot.
  • Você deve ter seu CNAME de domínio apontado para o servidor seguro configurado no processo inicial.
Se preferir utilizar um fornecedor ou tipo de certificado diferente, pode adicionar certificados SSL personalizados à sua conta, adquirindo o suplemento SSL personalizado. Você não pode usar um certificado SSL pré-existente, pois isso compromete a segurança do certificado.

Observação: o Google Trust Services é uma autoridade de certificação que provisiona um certificado para o seu domínio. Se o seu domínio tiver um registro de Autorização da autoridade de certificação (CAA), certifique-se de que pki.goog esteja listado para que o SSL possa ser provisionado ou renovado.

Provisione previamente seu certificado SSL

Se você estiver movendo seu site existente para o HubSpot, você pode querer pré-provisionar um certificado SSL para que não haja tempo de inatividade do SSL. Você pode pré-provisionar um certificado SSL enquanto conecta um domínio ao HubSpot.

Para pré-provisionar um certificado SSL:

  • Na página Configuração de DNS do processo de conexão do domínio, um banner aparecerá se seu site tiver um certificado SSL existente. Clique em Clique aqui para iniciar o processo de aprovisionamento.

    pre-provision-ssl-certificate

  • Siga as instruções na caixa de diálogo:
    • Entre na sua conta do provedor de DNS, como GoDaddy ou Namecheap.
    • No seu provedor de DNS, acesse a tela de configurações de DNS onde você gerencia seus registros de DNS.
    • Crie novos registros de DNS de acordo com a caixa de diálogo usando o Host (nome) e valores de Valor fornecidos na caixa de diálogo.

Observação: se estiver usando Network Solutions, Namecheap ou GoDaddy, não é preciso copiar o domínio raiz. O provedor adicionará um domínio raiz ao final do registro DNS automaticamente.

  • Clique em Verificar. Pode levar até quatro horas para o processamento de suas alterações. Se você receber um erro ao clicar em Verificar, aguarde alguns minutos e clique em Verificar para verificar novamente.

Assim que o certificado tiver sido pré-provisionado, um banner de confirmação aparecerá na tela de conexão do domínio. Pode então continuar a ligar o seu domínio.

ssl-pre-provision-success-banner

Configurações de segurança do domínio

Você pode personalizar as configurações de segurança para cada subdomínio conectado ao HubSpot. As configurações de segurança incluem o protocolo do seu site (HTTP x. HTTPS), a versão do TLS e os cabeçalhos de segurança do seu site.

Para atualizar as configurações de segurança do domínio:

  • Na sua conta da HubSpot, clique em settings ícone de configuração na barra de navegação principal.
  • No menu da barra lateral esquerda, acesse Site > Domínios e URLs.
  • Clique em Editar ao lado do domínio e selecione Atualizar configurações de segurança do domínio.
update-domain-security-settings


Protocolo HTTPS

Você pode exigir que todas as páginas no seu site carreguem com segurança. Uma vez ativada esta configuração, o conteúdo carregado por HTTP, como imagens e folhas de estilo, não será carregado no site. O conteúdo carregado por HTTP em um site HTTPS é chamado de conteúdo misto. Saiba como resolver erros de conteúdo misto na sua página.

Para ativar o protocolo HTTPS, marque a caixa de seleção Exigir HTTPS.


require-https


Versão do TLS

Por padrão, os servidores da HubSpot aceitarão uma conexão usando TLS 1.0 e superiores.

Para alterar quais versões do TLS são suportadas, clique no menu suspenso Versão do TLS e selecione a versão do TLS mais baixa que deseja suportar. Ocorrerão erros nas conexões que tentarem usar uma versão do TLS inferior ao mínimo definido.

TLS-version

Cabeçalhos de segurança

Você pode configurar a segurança do seu domínio e ativar os cabeçalhos de segurança para cada domínio.

Segurança Estrita de Transporte HTTP (HSTS)

Você pode adicionar uma camada extra de segurança ao seu site ativando a segurança HTTP Studio Transport (HSTS). A HSTS instrui os navegadores para converter todas as solicitações HTTP para solicitações de HTTPS. A ativação do HSTS adiciona o cabeçalho HSTS às respostas para solicitações feitas nos URLs do subdomínio.

  • Para ativar o HSTS, clique na guia Cabeçalhos de segurança e marque a caixa de seleção HTTP Studio Transport (HSTS).


security-HSTS-setting

  • Para definir por quanto tempo o navegador deve se lembrar de converter solicitações HTTP para HTTPS, clique no menu suspenso Duração (idade máxima) e selecione uma duração.
  • Para incluir a política de pré-carregamento no cabeçalho HSTS do domínio, marque a caixa de seleção Ativar pré-carregamento. Saiba mais sobre o Pré-carregamento de HSTS.
  • Para incluir o cabeçalho HSTS em todos os subdomínios sob o subdomínio selecionado, marque a caixa de seleção Incluir subdomínios. Por exemplo, se HSTS estiver ativado para www.examplewebsite.com e a caixa de seleção Incluir subdomínios estiver selecionada, o site www.examplewebsite.com também terá o HSTS ativado.

Saiba mais sobre o cabeçalho HSTS.

Configurações adicionais de segurança de domínio (somente para CMS Hub)

Se tiver uma conta CMS Hub Starter, Professional, ou Enterprise , pode activar as definições de segurança adicionais abaixo.

X-Frame-Options

Ative o cabeçalho de resposta X-Frame-Options para indicar se um navegador pode ou não renderizar uma página nas tags HTML <frame>, <iframe>, <embed> ou <object>.

Para ativar X-Frame-Options, marque a caixa de seleção X-Frame-Options e selecione uma Diretiva do menu suspenso:

  • Para evitar que as páginas do seu domínio sejam carregadas em qualquer página nas tags acima, selecione rejeitar.
  • Para permitir que as páginas do seu domínio sejam carregadas nas etiquetas acima apenas no seu domínio, seleccione sameorigin.

    x-frame-options-setting

Saiba mais sobre o cabeçalho X-Frame-Options.

X-XSS-Protection

Ative o cabeçalho X-XSS-Protection para adicionar uma camada de segurança para os usuários de navegadores web mais antigos, a fim de evitar que as páginas carreguem quando o script do site for detectado.

Para ativar esse cabeçalho, marque a caixa de seleção X-XSS-Protection e selecione uma Configuração XSS no menu suspenso:

  • Para desativar a filtragem de XSS, selecione 0.
  • Para remover as partes inseguras de uma página quando um ataque de scripting entre sites for detectado, selecione 1.
  • Para impedir a apresentação de uma página se for detectado um ataque, seleccione 1; mode=block.

    x-xss-protection-header

Saiba mais sobre o cabeçalho X-XSS-Protection.

X-Content-Type-Options

Ative o cabeçalho X-Content-Type-Options para remover a detecção do tipo MIME. A ativação dessa configuração informa ao navegador para seguir os tipos MIME anunciados nos cabeçalhos Content-Type.

x-content-type-options

Saiba mais sobre o cabeçalho X-Content-Type-Options.

Content-Security-Policy

Ative o cabeçalho Content-Security-Policy para controlar os recursos que o agente do usuário pode carregar em uma página. Este cabeçalho ajuda a impedir os ataques de scripting do site.

Para ativar o cabeçalho Content-Security-Policy, marque a caixa de seleção Content-Security-Policy e insira as Diretivas de política. Para uma lista de diretivas disponíveis, confira oguia do cabeçalho Content-Security-Policy do Mozilla.

Para permitir que elementos <script> sejam executados apenas se contiverem um atributo nonce correspondente ao valor de cabeçalho gerado aleatoriamente, selecione Ativar nonce.

Observação: O HubSpot gera automaticamente um valor aleatório em cada solicitação para todos os scripts do HubSpot e todos os scripts hospedados no HubSpot.

Os seguintes domínios e directivas devem ser incluídos para garantir a funcionalidade total nas páginas alojadas pela HubSpot:

Domínio* Directiva(s) Ferramenta
*.hsadspixel.net script-src Anúncios
*.hs-analytics.net script-src  Análise
*.hubapi.com conectar-src Chamadas de API (HubDB, submissões de formulários)
js.hscta.net script-src, img-src, connect-src Apelos à acção (botão)
no-cache.hubspot.com img-src Apelos à acção (botão)
*.hubspot.com script-src, img-src, connect-src, frame-src Apelos à acção (pop-up), fluxos de conversação
*.hs-sites.com frame-src Apelos à acção (pop-up)
static.hsappstatic.net script-src Conteúdo (menu de roda dentada, incorporação de vídeo)
*.usemessages.com script-src Conversas, fluxos de conversação
*.hs-banner.com script-src, connect-src Banner de bolacha
*.hubspotusercontent##.net (## pode ser 00, 10, 20, 30 ou 40) script-src, img-src, style-src Arquivos
*.hubspot.net script-src, img-src, frame-src Arquivos
play.hubspotvideo.com frame-src Ficheiros (vídeos)
cdn2.hubspot.net img-src, style-src Ficheiros, folhas de estilo
O seu domínio ligado ao HubSpot frame-src, style-src, script-src Ficheiros, folhas de estilo
*.hscollectedforms.net script-src, connect-src Formulários (formulários não HubSpot)
*.hsleadflows.net script-src Formulários (formulários pop-up)
*.hsforms.net script-src, img-src, frame-src Formulários, inquéritos
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src Formulários, inquéritos
*.hs-scripts.com script-src Código de rastreio da HubSpot
*.hubspotfeedback.com script-src Inquéritos
feedback.hubapi.com script-src Inquéritos

Content-Security-Policy-Report-Only

Ative o cabeçalho Content-Security-Policy-Report-Only para monitorar diretivas de política. As diretivas de política não serão aplicadas, mas os efeitos serão monitorados, o que pode ser útil ao experimentar políticas.

Para ativar esse cabeçalho, marque a caixa de seleção Content-Security-Policy-Report-Only e insira as Diretivas de política.

Para permitir que elementos <script> sejam executados apenas se contiverem um atributo nonce correspondente ao valor de cabeçalho gerado aleatoriamente, selecione Ativar nonce.

content-security-policy-report-only-header

Saiba mais sobre o cabeçalho Content-Security-Policy-Report-Only.

Referrer-Policy

Ative o cabeçalho Referrer-Policy para controlar quais das informações referenciadas devem ser incluídas nas solicitações.

Para ativar esse cabeçalho, marque a caixa de seleção Referrer-Policy e selecione uma Diretiva no menu suspenso.

referrer-policy-headerPara obter uma definição das diretivas disponíveis, consulte o guia do cabeçalho Referrer-Policy do Mozilla.

Permissions-Policy

Ative o cabeçalho Permissions-Policy para controlar o uso dos recursos do navegador na página, incluindo o conteúdo do elemento <iframe>.

Para ativar esse cabeçalho, marque a caixa de seleção Permissions-Policy e insira as Diretivas. Para obter uma lista das diretivas, consulte o guia de política de permissões do Mozilla.

permissions-policy-directives

 
Esse artigo foi útil?
Este formulário deve ser usado apenas para fazer comentários sobre esses artigos. Saiba como obter ajuda para usar a HubSpot.
New to HubSpot? Use these guides to get started.
/pt/domains-and-urls/ssl-and-domain-security-in-hubspot?