HubSpot 中的 SSL 和域安全
上次更新时间: 二月 28, 2025
当您将域名连接到您的账户时,HubSpot会自动通过谷歌信任服务提供标准SAN SSL证书。标准 SSL 配置通常需要几分钟,但最长可能需要四小时。
如果购买了自定义 SSL 附加组件,就可以将自定义 SSL 证书上传到 HubSpot。您还可以为每个连接的域配置安全设置,如 TLS 版本和安全标头。
请注意:如果在 SSL 配置过程中遇到错误,请进一步了解SSL 证书错误的故障排除。
SSL
HubSpot 提供的标准 SAN SSL 是免费的,并在到期前 30 天自动续期。要更新证书
- 您必须是 HubSpot 客户。
- 您的域名 CNAME 必须指向初始过程中设置的安全服务器。
- Google 信任服务是为您的域名提供证书的证书颁发机构。如果你的域名有证书颁发机构授权(CAA)记录,请确保 pki.goog 在列,以便可以提供或更新 SSL。
- 如果使用的是 Let's Encrypt SSL 证书,建议删除 CAA 记录,然后添加 CAA 记录以支持 Google 信任服务。这将确保你的网站在旧版 Android 设备上正常运行。
预先配置 SSL 证书
如果您要将现有网站迁移到 HubSpot,您可能需要预先配置 SSL 证书,这样就不会出现 SSL 停机时间。在将域名连接到 HubSpot 时,你可以预先配置 SSL 证书。
要预先配置 SSL 证书:
- 在域名连接过程的DNS 设置页面上,如果您的网站已有 SSL 证书,则会出现一个横幅。单击单击此处开始配置过程。
- 按照对话框中的说明操作:
- 登录 DNS 提供商账户,如 GoDaddy 或 Namecheap。
- 在 DNS 提供商中,导航到管理 DNS 记录的 DNS设置 屏幕。
- 使用对话框中提供的主机(名称)和值,根据对话框创建新 DNS 记录。
请注意:如果使用的是Network Solutions、Namecheap 或GoDaddy,则无需复制根域。您的提供商会自动将根域添加到 DNS 记录的末尾。
- 单击 "验证"。处理更改可能需要四个小时。如果单击 "验证 "时出现错误,请稍等片刻,然后单击 "验证 "再次检查。
证书预配置完成后,域连接屏幕上会出现一个确认横幅。然后您就可以继续连接您的域了。
设置域控制验证 (DCV) 记录
如果你在域名设置中看到 "反向代理域名需要你的操作以避免网站中断 "的错误提示,建议添加域名控制验证(DCV)记录,以保持你的 SSL 证书是最新的。
你可以通过以下步骤添加 DCV 记录:
- 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标。
- 在左侧边栏菜单中,导航至内容>域名和 URL。
- 对于每个带有 "需要执行操作 " 标签的域,单击 "编辑 "下拉菜单并选择 "显示 DNS 记录"。
- 在另一个窗口中,登录 DNS 提供商并访问 DNS 记录。有关编辑最常见 DNS 提供商 DNS 记录的详细说明,请查看DNS 设置指南。
- 在 HubSpot 中,复制对话框中的 DCV 记录值,然后将其粘贴到 DNS 提供商账户中的新记录中。在 DNS 账户中添加新的 DCV 记录后,DNS 更改可能需要 24 小时才能完成更新。
域安全设置
您可以为连接到 HubSpot 的每个子域自定义安全设置。安全设置包括网站协议(HTTP 与 HTTPS)、TLS 版本和网站安全标头。
更新域的安全设置:
- 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标。
- 在左侧边栏菜单中,导航至内容>域名和 URL。
- 在域旁边,单击操作 菜单并选择更新域安全设置。
HTTPS 协议
您可以要求网站上的所有页面都通过 HTTPS 安全加载。打开此设置后,通过 HTTP 加载的内容(如图片和样式表)将无法在网站上加载。在 HTTPS 网站上通过 HTTP 加载的内容称为混合内容。了解如何解决页面上的混合内容错误。
要打开 HTTPS 协议,请选择 " 要求 HTTPS "复选框。
TLS 版本
默认情况下,HubSpot 服务器将接受使用 TLS 1.0 及以上版本的连接。
要更改支持的 TLS 版本,请单击TLS 版本下拉菜单,选择要支持的最低 TLS 版本 。尝试使用低于最低设置的 TLS 版本的连接将失败。
安全标头
您可以为每个域配置域安全并打开安全标头。
HTTP 严格传输安全(HSTS)
您可以通过启用 HTTP 严格传输安全(HSTS)为网站增加一层额外的安全保护。HSTS 会指示浏览器将所有 HTTP 请求转换为 HTTPS 请求。启用 HSTS 后,子域上 URL 的请求响应将添加 HSTS 标头。
- 要打开 HSTS,请单击 "安全标头"选项卡,然后选择HTTP 严格传输安全(HSTS)复选框。
- 要设置浏览器将 HTTP 转换为 HTTPS 请求的记忆时间,请单击持续时间 (max-age)下拉菜单并选择持续时间。
- 要在域的 HSTS 标头中包含预加载指令,请选择启用预加载复选框。了解有关HSTS 预加载的更多信息。
- 要在选定子域下的所有子域中包含 HSTS 标头,请选择包含子域复选框。例如,如果www.examplewebsite.com已打开 HSTS 并选择了包含子域 复选框,cool.www.examplewebsite.com也将打开 HSTS。
了解有关HSTS 标头的更多信息。
其他域安全设置(仅限内容集线器)
如果您有Content Hub Starter、Professional 或Enterprise 帐户,您可以打开下面的附加安全设置。
X-Frame-Options
打开 X-Frame-Options 响应标头,以指示浏览器是否能以 <frame>、<iframe>、<embed> 或 <object> HTML 标记呈现页面。
要打开 X-Frame-Options,请选择X-Frame-Options复选框,然后从下拉菜单中选择一个指令:
- 若要阻止您域名上的页面在任何页面上加载上述标记,请选择拒绝。
- 若要仅允许在您的域中以上述标记加载您域中的页面,请选择sameorigin。
进一步了解X-Frame-Options 标头。
X-XSS 保护
打开 X-XSS-Protection 标头,在检测到跨站脚本时阻止页面加载,为旧版网络浏览器用户增加一层安全保护。
要打开此标题,请选择X-XSS-Protection复选框,然后从下拉菜单中选择XSS 设置:
- 要禁用 XSS 过滤,请选择0。
- 要在检测到跨站脚本攻击时删除页面的不安全部分,请选择1。
- 要在检测到攻击时阻止页面渲染,请选择1; mode=block。
进一步了解X-XSS-Protection 标头。
X-Content-Type-Options
打开 X-Content-Type-Options 标头,使网页退出MIME 类型嗅探。启用此设置后,浏览器将遵循 Content-Type 标头中公布的 MIME 类型。
进一步了解X-Content-Type-Options 标头。
内容安全政策
打开内容-安全-策略(Content-Security-Policy)标头,以控制用户代理可以在页面上加载的资源。该标头有助于防止跨站脚本攻击。
要打开 "内容-安全-策略 "标题,请选择 "内容-安全-策略"复选框,然后指定 "策略 "指令。有关可用指令的列表,请查看Mozilla 的内容-安全-策略标题指南。
要在网络版营销电子邮件中使用内容-安全-策略标题,请添加 "unsafe-inline "关键字,如此处所述。否则,电子邮件中的样式将被阻止。
要允许 <script> 元素仅在包含与随机生成的标题值相匹配的 nonce 属性时执行,请选择启用 nonce。
请注意:对于来自 HubSpot 的所有脚本和托管在 HubSpot 上的所有脚本,HubSpot 会在每次请求时自动生成一个随机值。
应包含以下域和指令,以确保 HubSpot 托管页面的全部功能:
| 领域* | 指令 | 工具 |
| *.hsadspixel.net | 脚本源代码 | 广告 |
| *.hs-analytics.net | 脚本源代码 | 分析 |
| *.hubapi.com | connect-src | API 调用(HubDB、表单提交) |
| js.hscta.net | 脚本源、图像源、连接源 | 行动呼吁(按钮) |
| js-eu1.hscta.net(仅限欧洲数据托管) | 脚本源代码、图像源代码、连接源代码 | 行动呼吁(按钮) |
| no-cache.hubspot.com | 图片来源 | 行动号召(按钮) |
| *.hubspot.com | 脚本源、图像源、连接源、框架源 | 行动号召(弹出式)、聊天流 |
| *.hs-sites.com | 框架源代码 | 行动呼吁(弹出式) |
| *.hs-sites-eu1.com (仅限欧洲数据托管) | 框架源代码 | 行动呼吁(弹出式) |
| static.hsappstatic.net | 脚本源代码 | 内容(链轮菜单、视频嵌入) |
| *.usemessages.com | 脚本源代码 | 对话、聊天流程 |
| *.hs-banner.com | 脚本源代码, 连接源代码 | Cookie 横幅 |
| *.hubspotusercontent##.net(## 可以是 00、10、20、30 或 40) | 脚本源文件、图像源文件、样式源文件 | 文件 |
| *.hubspot.net | 脚本源文件、图像源文件、框架源文件 | 文件 |
| play.hubspotvideo.com | 帧源 | 文件(视频) |
| play-eu1.hubspotvideo.com(仅限欧洲数据托管) | 帧源 | 文件(视频) |
| cdn2.hubspot.net | 图像源代码、样式源代码 | 文件、样式表 |
| 您连接到 HubSpot 的域 | 框架源代码、样式表源代码、脚本源代码 | 文件、样式表 |
| *.hscollectedforms.net | 脚本源代码, 连接源代码 | 表单(非 HubSpot 表单) |
| *.hsleadflows.net | 脚本源代码 | 表单(弹出式表单) |
| *.hsforms.net | 脚本源、图像源、框架源 | 表格、调查 |
| *.hsforms.com | 脚本源代码、图像源代码、框架源代码、连接源代码、子源代码 | 表单、调查 |
| *.hs-scripts.com | 脚本源代码 | HubSpot 跟踪代码 |
| *.hubspotfeedback.com | 脚本源代码 | 调查 |
| feedback.hubapi.com | 脚本源代码 | 调查 |
| feedback-eu1.hubapi.com(仅限欧洲数据托管) | 脚本源代码 | 调查 |
仅限内容安全政策报告
打开 Content-Security-Policy-Report-Only 标头以监控策略指令。策略指令不会被强制执行,但其效果会受到监控,这在尝试使用策略时非常有用。
要打开此标题,请选择 "仅内容安全政策报告"复选框,然后输入政策指令。
要允许 <script> 元素仅在包含与随机生成的标题值相匹配的 nonce 属性时执行,请选择开启 nonce。
进一步了解 "仅限内容安全政策报告"(Content-Security-Policy-Report-Only) 标头。
推荐人政策
打开 Referrer-Policy 标头,以控制请求中应包含多少推荐人信息。
要打开此标题,请选中Referrer-Policy复选框,然后从下拉菜单中选择一个指令。
有关可用指令的定义,请参阅Mozilla 的 Referrer-Policy 指南。权限政策
打开 "权限策略 "标题,以控制页面上浏览器功能的使用,包括 <iframe> 元素内容。
要打开此标题,请选择 "权限政策"复选框,然后输入你的指令。有关指令列表,请参阅Mozilla 的权限政策指南。