SSL och domänsäkerhet i HubSpot

HubSpot tillhandahåller automatiskt ett standard SAN SSL-certifikat via Google Trust Services när du ansluter en domän till ditt konto. Detta tar vanligtvis några minuter, men kan ta upp till fyra timmar.

Om du har köpt tillägget för anpassad SSL kan du ladda upp anpassade SSL-certifikat till HubSpot. Du kan också konfigurera säkerhetsinställningar för varje ansluten domän, till exempel TLS-version och säkerhetshuvuden.

Observera: Om du stöter på fel under SSL-tillhandahållandet kan du läsa mer om att felsöka SSL-certifikatfel.

Förbered ditt SSL-certifikat

Om du flyttar din befintliga webbplats till HubSpot kan du vilja förbereda ett SSL-certifikat i förväg så att det inte blir någon SSL-nedtid. Du kan förbereda ett SSL-certifikat i förväg när du ansluter en domän till HubSpot.

Säkerhetsinställningar för domänen

Du kan anpassa säkerhetsinställningarna för varje underdomän som är ansluten till HubSpot. Säkerhetsinställningarna omfattar webbplatsens protokoll (HTTP vs. HTTPS), TLS-versionen och webbplatsens säkerhetshuvuden.

Uppdatera en domäns säkerhetsinställningar:

• I ditt HubSpot-konto, klicka på inställningsikonen inställningar i huvudnavigeringsfältet.
• Navigera till Webbplats > Domäner och webbadresser i menyn till vänster i sidofältet.
• Klicka på Redigera bredvid domänen och välj sedan Uppdatera domänens säkerhetsinställningar.

HTTPS-protokoll

Du kan kräva att alla sidor på din webbplats laddas säkert via HTTPS. När den här inställningen är aktiverad laddas inte innehåll som laddats via HTTP, t.ex. bilder och formatmallar, på din webbplats. Innehåll som laddas över HTTP på en HTTPS-webbplats kallas blandat innehåll. Lär dig hur du löser fel med blandat innehåll på din sida.

Om du vill aktivera HTTPS-protokollet markerar dukryssrutan Krav på HTTPS .

TLS-version

Som standard accepterar HubSpot-servrarna en anslutning som använder TLS 1.0 och högre.

Om du vill ändra vilka TLS-versioner som stöds klickar du på rullgardinsmenyn TLS-version och väljer den lägsta TLS-versionen som du vill stödja. Anslutningar som försöker använda en TLS-version som är lägre än den lägsta inställda versionen misslyckas.

Säkerhetshuvuden

Du kan konfigurera domänsäkerheten och aktivera säkerhetshuvuden för varje domän.

HSTS (HTTP Strict Transport Security)

Du kan lägga till ett extra säkerhetslager på din webbplats genom att aktivera HTTP Strict Transport Security (HSTS). HSTS instruerar webbläsare att konvertera alla HTTP-förfrågningar till HTTPS-förfrågningar i stället. Om du aktiverar HSTS läggs HSTS-huvudet till i svaren för begäranden som görs till webbadresserna på underdomänen.

• Om du vill aktivera HSTS klickar du på fliken Säkerhetsrubriker och markerar sedan kryssrutan HTTP Strict Transport Security (HSTS ).

• Om du vill ange hur länge webbläsare ska komma ihåg att konvertera HTTP- till HTTPS-begäranden klickar du på rullgardinsmenyn Varaktighet (max-age ) och väljer en varaktighet.
• Markera kryssrutan Aktivera för spänning för att inkludera förspänningsdirektivet i domänens HSTS-huvud om du vill inkludera det i domänens HSTS-huvud. Läs mer om HSTS-förladdning.
• Om du vill inkludera HSTS-huvudet i alla underdomäner under den valda underdomänen markerar du kryssrutan Inkludera underdomäner. Om HSTS till exempel är aktiverat för www.examplewebsite.com och kryssrutan Inkludera underdomäner är markerad, kommer även cool.www.examplewebsite.com att ha HSTS aktiverat.

Läs mer om HSTS-huvudet.

Ytterligare säkerhetsinställningar för domäner (endastCMS Hub )

Om du har ett CMS Hub Starter-, Professional- eller Enterprise-kontokan du aktivera de ytterligare säkerhetsinställningarna nedan.

X-Frame-Options

Aktivera svarsrubriken X-Frame-Options för att ange om en webbläsare kan återge en sida i HTML-taggarna <frame>, <iframe>, <embed> eller <object> eller inte.

Om du vill aktivera X-Frame-Options markerar du kryssrutan X-Frame-Options och väljer sedan ett direktiv från rullgardinsmenyn:

• Om du vill förhindra att sidor på din domän laddas på en sida i ovanstående taggar väljer du Neka.
• Om du vill tillåta att sidor på din domän laddas med ovanstående taggar endast på din domän väljer du sameorigin.
  
  

Läs mer om X-Frame-Options-huvudet.

X-XSS-skydd

Aktivera X-XSS-Protection-huvudet för att lägga till ett säkerhetslager för användare av äldre webbläsare genom att förhindra att sidor laddas när cross-site scripting upptäcks.

Om du vill aktivera den här rubriken markerar du kryssrutan X-XSS-skydd och väljer sedan en XSS-inställning från rullgardinsmenyn:

• Välj 0 om du vill inaktivera XSS-filtrering.
• Om du vill ta bort de osäkra delarna av en sida när en cross-site scripting-attack upptäcks väljer du 1.
• Om du vill förhindra att en sida visas om en attack upptäcks väljer du 1; mode=block.
  
  

Läs mer om X-XSS-Protection-huvudet.

X-Content-Type-Options

Aktivera X-Content-Type-Options-huvudet för att välja bort sidor från sniffning av MIME-typer. Om du aktiverar den här inställningen får webbläsaren följa de MIME-typer som anges i Content-Type-rubrikerna.

Läs mer om X-Content-Type-Options-huvudet.

Policy för innehållssäkerhet

Aktivera Content-Security-Policy-huvudet för att kontrollera resurser som användaragenten kan ladda på en sida. Den här rubriken hjälper till att förhindra attacker med skript på olika webbplatser.

Om du vill aktivera rubriken Content-Security-Policy markerar du kryssrutan Content-Security-Policy och anger sedan dinapolicydirektiv. En lista över tillgängliga direktiv finns i Mozillas guide för Content-Security-Policy-huvudet.

Om du vill att <script>-element endast ska kunna exekveras om de innehåller ett nonce-attribut som matchar det slumpmässigt genererade headervärdet väljer du Aktivera nonce.

Observera: HubSpot genererar automatiskt ett slumpmässigt värde vid varje begäran för alla skript från HubSpot och alla skript som finns på HubSpot .

Följande domäner bör ingå för att säkerställa full funktionalitet på HubSpot-hostade sidor:

• cdn2.hubspot.net

• *.hubspot.com

• *.hubspotusercontentxx.net (där xx kan vara antingen 00, 10, 20, 30, 40)

• *.hscollectedforms.net

• js.hsleadflows.net

• js.hs-scripts.com

• js.hsadspixel.net

• js.hs-analytics.net

• js.hs-banner.com

• js.hs-banner.net

• *.hsforms.net

• *.hsforms.com

• static.hsappstatic.net

• js.hubspotfeedback.com

• feedback.hubapi.com

• js.usemessages.com

• *.vidyard.com

  
  

Content-Security-Policy-Report-Only

Aktivera Content-Security-Policy-Report-Only-huvudet för att övervaka policydirektiv. Policy-direktiven kommer inte att verkställas, men effekterna kommer att övervakas, vilket kan vara användbart när du experimenterar med policyer.

Om du vill aktivera den här rubriken markerar du kryssrutan Content-Security-Policy-Report-Only och anger sedan dina policydirektiv.

Om du vill att <script>-element ska kunna exekveras endast om de innehåller ett nonce-attribut som matchar det slumpmässigt genererade headervärdet väljer du Aktivera nonce.

Läs mer om Content-Security-Policy-Report-Only-huvudet.

Referrer-policy

Aktivera huvudet Referrer-Policy för att styra hur mycket information om referenser som ska inkluderas i förfrågningar.

Om du vill aktivera den här rubriken markerar du kryssrutan Referrer-Policy och väljer sedan ett direktiv från rullgardinsmenyn.

En definition av de tillgängliga direktiven finns i Mozillas guide Referrer-Policy.

Behörigheter-Policy

Aktivera rubriken Permissions-Policy för att styra användningen av webbläsarfunktioner på sidan, inklusive <iframe>-elementets innehåll.

Om du vill aktivera den här rubriken markerar du kryssrutan Behörighetspolitik och anger sedan dina direktiv. En lista över direktiv finns i Mozillas guide Permissions-Policy.