- Central de conhecimento
- Conteúdo
- Domínios e URLs
- SSL e segurança de domínio no HubSpot
SSL e segurança de domínio no HubSpot
Ultima atualização: 26 de Setembro de 2025
Disponível com qualquer uma das seguintes assinaturas, salvo menção ao contrário:
O HubSpot provisiona automaticamente um certificado SAN SSL padrão por meio do Google Trust Services quando você conecte um domínio à sua conta. O provisionamento padrão de SSL geralmente leva alguns minutos, mas pode levar até quatro horas.
Se você comprou o complemento SSL personalizado, você pode carregue certificados SSL personalizados para o HubSpot. Você também pode definir configurações de segurança para cada domínio conectado, como versões TLS e cabeçalhos de segurança.
Observe: se você encontrar erros durante o processo de provisionamento SSL, saiba mais sobre solução de problemas de erros de certificado SSL.
SSL
O SSL padrão do SAN fornecido pela HubSpot é gratuito e renova automaticamente 30 dias antes de expirar. Para renovar o certificado:
- Você deve ser um cliente da HubSpot.
- Você deve ter seu CNAME de domínio apontado para o servidor seguro configurado no processo inicial.
- O Google Trust Services é a autoridade de certificação que fornece um certificado para seu domínio. Se o seu domínio tiver um registro de Autorização de Autoridade de Certificação (CAA), certifique-se de que pki.goog esteja listado para que o SSL possa ser provisionado ou renovado.
- Se você estiver usando um certificado SSL Let's Encrypt, é recomendável remover seu registro CAA e, em seguida, adicionar um registro CAA para dar suporte ao Google Trust Services. Isso garantirá que seu site funcione conforme o esperado em dispositivos Android mais antigos.
Provisione previamente seu certificado SSL
Se você estiver movendo seu site existente para o HubSpot, você pode querer pré-provisionar um certificado SSL para que não haja tempo de inatividade do SSL. Você pode pré-provisionar um certificado SSL enquanto conectando um domínio ao HubSpot.
- Durante o processo de conexão de um domínio, um banner estará visível se o seu site tiver um certificado SSL existente. Clique em pré-provisionamento e siga as instruções na caixa de diálogo para iniciar o processo de provisionamento.
- Em uma janela ou guia separada do navegador, entre no site do provedor de domínio (por exemplo, GoDaddy ou Namecheap).
- No site do provedor de domínio, navegue até as configurações DNS onde você gerencia os registros DNS.
- Crie novos registros DNS, de acordo com a caixa de diálogo Pré-provisionar seu certificado SSL no HubSpot. Copie os valores de Dados Necessários e do Host.
- Quando terminar, clique em Verify (Verificar) na caixa de diálogo Pre-provision your SSL certificate (Pré-provisionamento do certificado SSL) . Pode levar até quatro horas para o processamento de suas alterações. Se você receber um erro ao clicar em Verificar, aguarde alguns minutos e clique em Verificar para verificar novamente.
Observe: se você estiver usando Soluções de rede, Nome barato, ou Vai Papai, você não precisa copiar o domínio raiz. O provedor adicionará um domínio raiz ao final do registro DNS automaticamente.
- Após o pré-provisionamento do certificado, uma faixa de confirmação será exibida na tela de conexão do domínio. Você pode, então, continuar conectando seu domínio .
Configurar um registo de Validação de Controle de Domínio (DCV)
Se você vir um erro nas configurações do seu domínio informando que "Os domínios de proxy reverso precisam da sua ação para evitar a interrupção do site.", é recomendado adicionar um registro de Validação de Controle de Domínio (DCV) para manter seu certificado SSL atualizado.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Para cada domínio com um rótulo Ação necessária, clique no menu suspenso Ações e selecione GerenciarMostrar registros DNS.
- Em uma janela ou guia separada do navegador, entre no site do provedor de domínio e acesse seus registros DNS. Saiba mais sobre a configuração de DNS para os provedores mais comuns.
- No site do provedor de domínio, navegue até as configurações DNS onde você gerencia os registros DNS.
- Crie novos registros DNS, de acordo com a caixa de diálogo em HubSpot. Copie os valores de registro DCV e cole-os no novo registro no site do provedor de domínio nas configurações DNS.
- Quando você adiciona um novo registro DCV à sua conta DNS, pode levar até 24 horas para que as alterações de DNS concluam a atualização.
Configurações de segurança do domínio
Você pode personalizar as configurações de segurança para cada subdomínio conectado ao HubSpot. As configurações de segurança incluem o protocolo do seu site (HTTP x. HTTPS), a versão do TLS e os cabeçalhos de segurança do seu site.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
Protocolo HTTPS
Você pode exigir que todas as páginas no seu site carreguem com segurança. Quando essa configuração estiver ativada, o conteúdo carregado por HTTP, como imagens e folhas de estilo, não será carregado no site. O conteúdo carregado por HTTP em um site HTTPS é chamado de conteúdo misto. Aprenda como resolver erros de conteúdo misto na sua página.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, marque a caixa de seleção Exigir HTTPS para exigir que todas as páginas no domínio sejam carregadas com segurança por HTTPS em vez de HTTP.
- Quando terminar, clique em Salvar.

Versão do TLS
Por padrão, os servidores da HubSpot aceitarão uma conexão usando TLS 1.0 e superiores. Ocorrerão erros nas conexões que tentarem usar uma versão do TLS inferior ao mínimo definido.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique no menu suspenso da versão TLS e selecione uma opção.
- Quando terminar, clique em Salvar.
Cabeçalhos de segurança
Você pode configurar a segurança do seu domínio e ativar os cabeçalhos de segurança para cada domínio.
Segurança Estrita de Transporte HTTP (HSTS)
Você pode adicionar uma camada extra de segurança ao seu site ativando a segurança HTTP Studio Transport (HSTS). A HSTS instrui os navegadores para converter todas as solicitações HTTP para solicitações de HTTPS. A ativação do HSTS adiciona o cabeçalho HSTS às respostas para solicitações feitas nos URLs do subdomínio. Saiba mais sobre o cabeçalho HSTS.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para habilitar o HSTS, marque a caixa de seleção Segurança de Transporte Estrito HTTP (HSTS) .
- Para editar por quanto tempo os navegadores devem se lembrar de converter HTTP em solicitações HTTPS, clique no menu suspenso Duração (idade máxima) e selecione uma duração.
- Para incluir a política de pré-carregamento no cabeçalho HSTS do domínio, marque a caixa de seleção Ativar pré-carregamento. Saiba mais sobre o Pré-carregamento de HSTS.
- Para incluir o cabeçalho HSTS em todos os subdomínios sob o domínio selecionado, marque a caixa de seleção Incluir subdomínios . Por exemplo, se HSTS estiver ativado para www.examplewebsite.com e a caixa de seleção Incluir subdomínios estiver selecionada, o site www.examplewebsite.com também terá o HSTS ativado.
- Quando terminar, clique em Salvar.
Configurações adicionais de segurança de domínio (Centro de conteúdo apenas)
Se você tem um Centro de conteúdo Iniciante, Profissional, ou Empresa conta, você pode ativar as configurações de segurança adicionais abaixo.
X-Frame-Options
Você pode ativar o cabeçalho de resposta X-Frame-Options para mostrar se um navegador pode renderizar uma página em <frame>
, <iframe>
, <embed>
, ou <object>
tags html. Saiba mais sobre o cabeçalho X-Frame-Options.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para ativar X-Frame-Options, marque a caixa de seleção X-Frame-Options e clique no menu suspenso Diretiva para selecionar uma opção de:
- Para evitar que as páginas do seu domínio sejam carregadas em qualquer página nas tags acima, selecione rejeitar.
- Para permitir que as páginas do seu domínio sejam carregadas nas etiquetas acima apenas no seu domínio, selecione a mesma origem.
- Quando terminar, clique em Salvar.

X-XSS-Protection
Você pode ativar o cabeçalho X-XSS-Protection para adicionar uma camada de segurança para usuários de navegadores mais antigos. A ativação do X-XSS-Protection impede que as páginas sejam carregadas quando scripts entre sites forem detectados. Saiba mais sobre o cabeçalho X-XSS-Protection.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para ativar o cabeçalho X-XSS-Protection, marque a caixa de seleção X-XSS-Protection e clique no menu suspenso de configuração XSS e selecione uma opção:
- Para desativar a filtragem de XSS, selecione 0.
- Para remover partes não seguras de uma página quando um ataque de script entre sites for detectado, selecione 1.
- Para impedir a renderização de uma página se um ataque for detectado, selecione 1; mode=block.
- Quando terminar, clique em Salvar.

X-Content-Type-Options
Você pode ativar o cabeçalho X-Content-Type-Options para recusar páginas de farejamento de tipo MIME. A ativação dessa configuração informa ao navegador para seguir os tipos MIME anunciados nos cabeçalhos Content-Type. Saiba mais sobre o cabeçalho X-Content-Type-Options.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para recusar páginas de farejamento de tipo MIME, marque a caixa de seleção X-Content-Type-Options .
- Quando terminar, clique em Salvar.
Content-Security-Policy
Você pode ativar o cabeçalho Content-Security-Policy para controlar os recursos que o agente do usuário pode carregar em uma página. Este cabeçalho ajuda a impedir os ataques de scripting do site.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para controlar o recurso que o agente do usuário pode carregar, marque a caixa de seleção Content-Security-Policy (Política de segurança de conteúdo) :
- Informe diretivas no campo Diretivas de política.
- Para garantir a funcionalidade completa nas páginas hospedadas no HubSpot, os domínios e diretivas na tabela a seguir devem ser incluídos.
- Para obter uma lista de outras diretivas disponíveis, saiba mais sobre o guia de cabeçalho Content-Security-Policy da Mozilla.
- Para usar o cabeçalho Content-Security-Policy com as versões da Web de emails de marketing, insira unsafe-inline como uma palavra-chave descrita aqui. Caso contrário, o estilo do e-mail será bloqueado.
- Para permitir
<script>
elementos a serem executados somente se contiverem um atributo nonce correspondente ao valor de cabeçalho gerado aleatoriamente, marque a caixa de seleção Habilitar nonce.
- Informe diretivas no campo Diretivas de política.
- Quando terminar, clique em Salvar.
Observação: o HubSpot gera automaticamente um valor aleatório a cada solicitação para todos os scripts recebidos do HubSpot e para todos os scripts hospedados no HubSpot.
Os seguintes domínios devem ser incluídos para garantir a funcionalidade nas páginas hospedadas pela HubSpot:
Domínio* | Diretiva(s) | Ferramenta |
*.hsadspixel.net | script-src | Anúncios |
*.hs-analytics.net | script-src | Análise |
*.hubapi.com | connect-src | Chamadas de API (HubDB, envios de formulários) |
js.hscta.net | script-src, img-src, connect-src | Calls to action (botão) |
js-eu1.hscta.net (Somente hospedagem de dados europeia) | script-src, img-src, connect-src | Calls to action (botão) |
no-cache.hubspot.com | img-src | Calls to action (botão) |
*.hubspot.com | script-src, img-src, connect-src, frame-src | Calls to action (pop-up), fluxos de chat |
*.hs-sites.com | frame-src | Calls to action (pop-up) |
*.hs-sites-eu1.com (Somente hospedagem de dados europeia ) | frame-src | Calls to action (pop-up) |
static.hsappstatic.net | script-src | Conteúdo (menu da roda dentada, incorporação de vídeo) |
*.usemessages.com | script-src | Conversas, fluxos de chat |
*.hs-banner.com | script-src, connect-src | Banner de cookies |
*.hubspotusercontent##.net (## pode ser 00, 10, 20, 30 ou 40) | script-src, img-src, style-src | Arquivos |
*.hubspot.net | script-src, img-src, frame-src | Arquivos |
play.hubspotvideo.com | frame-src | Arquivos (vídeos) |
play-eu1.hubspotvideo.com (Somente hospedagem de dados europeia) | frame-src | Arquivos (vídeos) |
cdn2.hubspot.net | img-src, style-src | Arquivos, folhas de estilo |
Seu domínio conectado à HubSpot | frame-src, style-src, script-src | Arquivos, folhas de estilo |
*.hscollectedforms.net | script-src, connect-src | Formulários (coletados) |
*.hsleadflows.net | script-src | Formulários (formulários pop-up) |
*.hsforms.net | script-src, img-src, frame-src | Formulários, pesquisas |
*.hsforms.com | script-src, img-src, frame-src, connect-src, child-src | Formulários, pesquisas |
*.hs-scripts.com | script-src | Código de rastreamento da HubSpot |
*.hubspotfeedback.com | script-src | Pesquisas |
feedback.hubapi.com | script-src | Pesquisas |
feedback-eu1.hubapi.com (Somente hospedagem de dados europeia) | script-src | Pesquisas |
Content-Security-Policy-Report-Only
Você pode ativar o cabeçalho Content-Security-Policy-Report-Only para monitorar diretivas de diretiva. As diretivas políticas não serão aplicadas, mas os efeitos serão monitorados, o que pode ser útil ao testar políticas. Saiba mais sobre o cabeçalho Content-Security-Policy-Report-Only.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para ativar esse cabeçalho, marque a caixa de seleção Content-Security-Policy-Report-Only e insira as Diretivas de política.
- Para permitir
<script>
elementos a serem executados somente se contiverem um atributo nonce correspondente ao valor de cabeçalho gerado aleatoriamente, marque a caixa de seleção Habilitar nonce. - Quando terminar, clique em Salvar.
Referrer-Policy
Você pode ativar o cabeçalho da Política de Quens indicas para controlar quantas informações sobre quens indicas devem ser incluídas nas solicitações. Para uma definição das diretivas disponíveis, consulte Mozilla's Quem indica-Policy guide.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para controlar quanta informação sobre quens indicas deve ser incluída nas solicitações, marque a caixa deseleção Política de Quens indicas , clique no menu suspenso Diretiva e selecione uma opção de diretiva.
- Quando terminar, clique em Salvar.
Permissions-Policy
Você pode ativar o cabeçalho Permissions-Policy para controlar o uso dos recursos do navegador na página, incluindo <iframe>
conteúdo do elemento.
- Na sua conta HubSpot, clique no ícone de configurações settings icon na barra de navegação superior.
- No menu da barra lateral esquerda, acesse Conteúdo > Domínios e URLs.
- Clique no menu suspenso Ações e selecione Atualizar configurações de segurança do domínio.
- No painel do lado direito, clique na guia Cabeçalhos de segurança .
- Para controlar o uso de recursos do navegador, marque a caixa de seleção Permissões-Política e insira as Diretivas. Para obter uma lista de diretivas, consulte o Guia de políticas de permissões do Mozilla.
- Quando terminar, clique em Salvar.