SSL och domänsäkerhet i HubSpot

HubSpot tillhandahåller automatiskt ett standard-SAN-SSL-certifikat via Google Trust Services när du kopplar en domän till ditt konto. Det tar vanligtvis några minuter att tillhandahålla ett standard-SSL-certifikat, men det kan ta upp till fyra timmar.

Förbered ett SSL-certifikat

Om du flyttar din befintliga webbplats till HubSpot kan det vara en god idé att förprovisionera ett SSL-certifikat så att det inte uppstår något SSL-avbrott. Du kan förprovisionera ett SSL-certifikat när du ansluter en domän till HubSpot.

1. Under anslutningsprocessen för en domän visas en banner om din webbplats har ett befintligt SSL-certifikat. Klicka på förberedelse och följ anvisningarna i dialogrutan för att starta tilldelningsprocessen.

2. Logga in på din domänleverantörs webbplats (t.ex. GoDaddy eller Namecheap) i ett separat webbläsarfönster eller en separat flik.
3. På din domänleverantörs webbplats navigerar du till DNS-inställningarnadär du hanterar dina DNS-poster.
4. Skapa nya DNS-poster enligt dialogrutan Förbered ditt SSL-certifikati HubSpot. Kopiera värdena förVärd och Obligatoriska data.
5. När du är klar klickar du på Verifierai dialogrutan Förbered ditt SSL-certifikat. Det kan ta upp till fyra timmar innan dina ändringar har bearbetats. Om du får ett felmeddelande när du klickar på Verifiera väntar du några minuter och klickar sedan på Verifiera för att kontrollera igen.

Observera: om du använder Network Solutions, Namecheap eller GoDaddy behöver du inte kopiera rotdomänen. Din leverantör lägger automatiskt till en rotdomän i slutet av DNS-posten.

6. När ditt certifikat har förberetts visas en bekräftelsebanner på skärmen för domänanslutning. Du kan sedan fortsätta att ansluta din domän.

Konfigurera en DCV-post (Domain Control Validation)

Om du ser ett felmeddelande i dina domäninställningar som säger att ”Reverse proxy-domäner kräver din åtgärd för att undvika störningar på webbplatsen” rekommenderas det att du lägger till en DCV-post (Domain Control Validation) för att hålla ditt SSL-certifikat uppdaterat.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. För varje domän medetiketten Åtgärd krävsklickar du pårullgardinsmenyn Åtgärder och väljerVisa DNS-poster.
4. Logga in på din domänleverantörs webbplats i ett separat webbläsarfönster eller en separat flik och öppna dina DNS-poster. Läs mer om DNS-konfiguration för de vanligaste leverantörerna.
5. På din domänleverantörs webbplats navigerar du till DNS-inställningarnadär du hanterar dina DNS-poster.
6. Skapa nya DNS-poster enligt anvisningarna i dialogrutan i HubSpot. Kopiera värdena för DCV-posten och klistra in dem i den nya posten på din domänleverantörs webbplats under DNS-inställningarna.
7. När du lägger till en ny DCV-post i ditt DNS-konto kan det ta upp till 24 timmar innan DNS-ändringarna har uppdaterats.

Uppdatera domänens säkerhetsinställningar

Uppdatera säkerhetsinställningarna för varje underdomän som är ansluten till HubSpot. Säkerhetsinställningarna inkluderar webbplatsens protokoll (HTTP eller HTTPS), TLS-version och webbplatsens säkerhetsrubriker.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.

HTTPS-protokoll

Kräv att alla sidor på din webbplats laddas säkert via HTTPS. När den här inställningen är aktiverad kommerinnehåll som laddas via HTTP, till exempel bilder och stilmallar, inte attladdas på din webbplats. Innehåll som laddas via HTTP på en HTTPS-webbplats kallas blandat innehåll. Läs om hur du löser fel med blandat innehåll på din sida.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I det högra sidopanelet markerar du kryssrutan Kräv HTTPS för att kräva att alla sidor på domänen laddas säkert via HTTPS istället för HTTP.
5. När du är klar klickar du på Spara.

TLS-version

Som standard accepterar HubSpot-servrar en anslutning som använder TLS 1.2 och högre. Anslutningar som försöker använda en TLS-version som är lägre än det angivna minimumet kommer att misslyckas.

Observera: vissa säkerhetsskanningar kan visa äldre TLS-versioner (t.ex. TLS 1.0) på Cloudflare-IP-adresser som används för att leverera innehåll som hostas av HubSpot. Detta påverkar inte din webbplats säkerhet. Din webbplats levereras med den TLS-version som är konfigurerad för din domän, till exempel TLS 1.2.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på rullgardinsmenyn TLS-version och väljer ett alternativ.
5. När du är klar klickar du på Spara.

Säkerhetsrubriker

Konfigurera din domäns säkerhet och aktivera säkerhetsrubriker för varje domän.

HTTP Strict Transport Security (HSTS)

Lägg till ett extra säkerhetslager på din webbplats genom att aktivera HTTP Strict Transport Security (HSTS). HSTS instruerar webbläsare att konvertera alla HTTP-förfrågningar till HTTPS-förfrågningar istället. När du aktiverar HSTS läggs HSTS-rubriken till i svaren på förfrågningar som görs till URL:erna på underdomänen. Läs mer om HSTS-rubriken.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I högerpanelen klickar du på fliken Säkerhetsrubriker.
5. För att aktivera HSTS markerar du kryssrutan HTTP Strict Transport Security (HSTS). 
   • Om du vill ändra hur länge webbläsarna ska komma ihåg att konvertera HTTP-förfrågningar till HTTPS-förfrågningar klickar du på rullgardinsmenyn Varaktighet (max-age) och väljer en varaktighet.
   • För att inkludera preload-direktivet i domänens HSTS-rubrik markerar du kryssrutan Aktivera preload. Läs mer om HSTS-förladdning.
   • För att inkludera HSTS-rubriken i alla underdomäner under den valda domänen, markera kryssrutan Inkludera underdomäner. Om till exempel HSTS är aktiverat för www.examplewebsite.com och kryssrutan Inkludera underdomäner är markerad, kommer cool.www.examplewebsite.com också att ha HSTS aktiverat .
6. När du är klar klickar du på Spara.

Ytterligare säkerhetsinställningar för domäner

Konfigurera ytterligare säkerhetsrubriker för domäner för att styra hur webbläsare laddar innehåll, hanterar förfrågningar och tillämpar skydd på din domän. Dessa inställningar hjälper till att förhindra vanliga sårbarheter, såsom cross-site scripting och obehörig inbäddning av innehåll.

X-Frame-Options

Aktivera svarsrubriken X-Frame-Options för att visa om en webbläsare kan rendera en sida i HTML-taggarna <frame>, <iframe>, <embed> eller <object>. Läs mer om rubriken X-Frame-Options.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera säkerhetsinställningar för domän.
4. Klicka på fliken Säkerhetsrubriker i det högra sidopanelet.
5. För att aktivera X-Frame-Options markerar du kryssrutan X-Frame-Options och klickar sedan på rullgardinsmenynDirektiv för att välja ett alternativ:
   • För att förhindra att sidor på din domän laddas på någon sida i ovanstående taggar, välj neka.
   • Om du vill tillåta att sidor på din domän laddas i ovanstående taggar endast inom din domän väljer du sameorigin.
6. När du är klar klickar du på Spara.

X-XSS-Protection

Aktivera X-XSS-Protection-rubriken för att lägga till ett extra säkerhetslager för användare av äldre webbläsare. Att aktivera X-XSS-Protection förhindrar att sidor laddas när cross-site scripting upptäcks. Läs mer om X-XSS-Protection-rubriken.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att aktivera X-XSS-Protection-rubriken markerar du kryssrutan X-XSS-Protection, klickar sedan på rullgardinsmenynXSS-inställningar och väljer ett alternativ:
   • För att inaktivera XSS-filtrering, välj 0.
   • För att ta bort osäkra delar av en sida när en cross-site scripting-attack upptäcks, välj 1.
   • För att förhindra att en sida renderas om en attack upptäcks, välj 1; mode=block.
6. När du är klar klickar du på Spara.

X-Content-Type-Options

Aktivera X-Content-Type-Options-rubriken för att undanta sidor från MIME-typsniffning. När du aktiverar den här inställningen instrueras webbläsaren att följa de MIME-typer som anges i Content-Type-rubrikerna. Läs mer om X-Content-Type-Options-rubriken.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera säkerhetsinställningar för domän.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att undanta sidor från MIME-typsniffning markerar du kryssrutan X-Content-Type-Options.
6. När du är klar klickar du på Spara.

Content-Security-Policy

Aktivera Content-Security-Policy-rubriken för att kontrollera vilka resurser som användaragenten kan ladda på en sida. Denna rubrik hjälper till att förhindra cross-site scripting-attacker.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att styra vilka resurser användaragenten kan ladda, markera kryssrutan Content-Security-Policy:
   • Ange direktiv i fältet Policy-direktiv.
     • För att säkerställa full funktionalitet på HubSpot-hostade sidor bör domänerna och direktiven i följande tabell inkluderas.
     • För en lista över andra tillgängliga direktiv, läs mer iMozillas guide omContent-Security-Policy-rubriken.
   • För att använda Content-Security-Policy-rubriken med webbversionerna av marknadsföringsmejl, ange unsafe-inline som ett nyckelord enligt beskrivningen här. Annars kommer formateringen från mejlet att blockeras.
   • För att tillåta att <script> -element endast körs om de innehåller ett nonce-attribut som matchar det slumpmässigt genererade header-värdet, markerakryssrutanAktivera nonce.
6. När du är klar klickar du på Spara.

Observera: HubSpot genererar automatiskt ett slumpmässigt värde vid varje begäran för alla skript från HubSpot och alla skript som hostas på HubSpot.

Följande domäner och direktiv bör inkluderas för att säkerställa full funktionalitet på sidor som hostas av HubSpot:

Content-Security-Policy-Report-Only

Aktivera Content-Security-Policy-Report-Only-rubriken för att övervaka policydirektiv. Policydirektiv kommer inte att tillämpas, men effekterna kommer att övervakas, vilket kan vara användbart när du experimenterar med policyer. Läs mer om Content-Security-Policy-Report-Only-rubriken.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidfält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att aktivera denna rubrik markerar du kryssrutan Content-Security-Policy-Report-Only och anger sedan dina policy-direktiv.
6. För att tillåta att <script> -element endast körs om de innehåller ett nonce-attribut som matchar det slumpmässigt genererade huvudvärdet, markerar du kryssrutanAktivera nonce.
7. När du är klar klickar du på Spara.

Referrer-Policy

Aktivera Referrer-Policy-rubriken för att styra hur mycket referensinformation som ska inkluderas i förfrågningar. För en definition av de tillgängliga direktiven, se Mozillas Referrer-Policy-guide.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidofält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att styra hur mycket referensinformation som ska inkluderas i förfrågningar markerar du kryssrutan Referrer-Policy, klickar sedan på rullgardinsmenynDirektiv och väljer ett alternativ.
6. När du är klar klickar du på Spara.

Permissions-Policy

Aktivera Permissions-Policy-rubriken för att styra användningen av webbläsarfunktioner på sidan, inklusive innehållet i <iframe> -elementet.

1. I ditt HubSpot-konto klickar du på inställningsikonen i det övre navigeringsfältet.
2. I menyn i vänster sidofält navigerar du till Innehåll > Domäner och URL:er.
3. Klicka pårullgardinsmenyn Åtgärder och välj Uppdatera domänens säkerhetsinställningar.
4. I panelen till höger klickar du på fliken Säkerhetsrubriker.
5. För att styra användningen av webbläsarfunktioner markerar du kryssrutan Permissions-Policy och anger sedan dina direktiv. En lista över direktiv finns i Mozillas guide till Permissions-Policy.
6. När du är klar klickar du på Spara.