HubSpot中的SSL和域安全
上次更新時間: 十月 16, 2024
當您將網域連結至帳戶時, HubSpot會透過Google Trust Services自動佈建 標準SAN SSL憑證。 這通常需要幾分鐘,但最多可能需要四小時。
如果您已購買自訂SSL附加元件,則可以將自訂SSL憑證上傳到HubSpot。 您還可以為每個連線的網域設定安全性設定,例如TLS版本和安全性標頭。
請注意:如果您在SSL佈建過程中遇到錯誤,請進一步瞭解SSL憑證錯誤的疑難排解。
SSL
透過HubSpot提供的標準SAN SSL是免費的,並在到期前30天自動續訂。 若要續訂憑證,請按照以下步
- 您必須是HubSpot客戶。
- 您必須讓您的網域CNAME指向在初始過程中設定的安全伺服器。
- Google Trust Services是為您的網域提供憑證的憑證授權單位。 如果您的網域有憑證授權單位授權(CAA)記錄,請務必列出pki.goog ,以便佈建或續訂SSL。
- 如果您使用的是Let's Encrypt SSL憑證,建議您移除CAA記錄,然後新增CAA記錄以支援Google Trust Services。 這將確保您的網站在較舊的Android裝置上正常運作。
預先佈建SSL憑證
如果您要將現有網站移至HubSpot ,可能需要預先佈建SSL憑證,以免SSL停機。 您可以在將網域連線至HubSpot時預先佈建SSL憑證。
若要預先佈建SSL憑證:
- 如果您的網站已有SSL憑證,網域連線程序的DNS設定頁面上會顯示橫幅。 按一下此處即可開始佈建流程。
- 按照對話方塊中的說明操作:
- 登入您的DNS提供者帳戶,例如GoDaddy或Namecheap。
- 在DNS供應商中,前往管理DNS記錄的DNS設定畫面。
- 使用對話方塊中提供的主機(名稱)和值值,根據對話方塊建立新的DNS記錄。
請注意:如果您使用的是Network Solutions、Namecheap或GoDaddy ,則不需要複製根網域。 您的供應商會自動將根網域新增到DNS記錄的末尾。
- 點擊「驗證」。最多可能需要四小時才能處理變更。 如果點擊「驗證」時出現錯誤,請稍候幾分鐘,然後點擊「驗證」以再次檢查。
預先佈建憑證後,網域連線畫面會顯示確認橫幅。 然後,你可以繼續連結網域。
設定網域控制驗證(DCV)記錄
如果您在網域設定中看到「反向Proxy網域需要您的動作以避免網站中斷」的錯誤,建議您新增網域控制驗證(DCV)記錄,以保持SSL憑證為最新狀態。
您可以透過以下步驟新增DCV記錄:
- 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,前往「內容」>「網域與網址」。
- 對於每個帶有「需要採取行動」標籤的網域,按一下「編輯」下拉式選單,然後選取「顯示DNS記錄」。
- 在另一個視窗中,登入DNS供應商並存取DNS記錄。 如需為最常見的DNS供應商編輯DNS記錄的詳細說明,請參閱DNS設定指南。
- 在HubSpot中,複製對話方塊中DCV記錄的值,然後將它們貼到DNS提供者帳戶中的新記錄中。 DNS變更最多可能需要24小時才能完成更新。
網域安全設定
您可以自訂連線至HubSpot的每個子網域的安全性設定。 安全設定包括網站通訊協定( HTTP與HTTPS )、TLS版本和網站安全標頭。
若要更新網域的安全性設定:
- 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,前往「內容」>「網域與網址」。
- 在網域旁邊,按一下「動作」選單,然後選取「更新網域安全性設定」。
HTTPS通訊協定
你可以要求網站上的所有頁面透過HTTPS安全載入。 啟用此設定後,透過HTTP載入的內容(如圖片和樣式表)將不會載入你的網站。 在HTTPS網站上透過HTTP載入的內容稱為混合內容。 了解如何解決頁面上的混合內容錯誤。
若要開啟HTTPS通訊協定,請選取[ 需要HTTPS]核取方塊。
TLS版本
根據預設, HubSpot伺服器將接受使用TLS 1.0及更高版本的連線。
若要變更支援的TLS版本,請按一下TLS版本下拉式選單,然後選取您要支援的最低TLS版本 。 嘗試使用低於最低設定的TLS版本的連線將失敗。
安全性標頭
您可以設定網域安全性,並為每個網域開啟安全性標頭。
HTTP嚴格傳輸安全性(HSTS)
您可以啟用HTTP嚴格傳輸安全性(HSTS) ,為網站增添額外的安全性。 HSTS會指示瀏覽器將所有HTTP要求轉換為HTTPS要求。 啟用HSTS會將HSTS標頭新增至對子網域上URL提出的要求的回應中。
- 若要開啟HSTS ,請按一下[安全性標頭]標籤,然後選取[HTTP嚴格傳輸安全性(HSTS)]核取方塊。
- 若要設定瀏覽器應記得將HTTP轉換為HTTPS請求的時間長度,請按一下「持續時間」(max-age)下拉式選單,然後選取持續時間。
- 若要在網域的HSTS標頭中包含預載入指令,請選取啟用預載入核取方塊。 深入瞭解預先載入合併銷售稅(HSTS)。
- 若要在所選子網域下的所有子網域中包含HSTS標頭,請選取包含子網域核取方塊。 例如,如果為www.examplewebsite.com開啟了HSTS ,並勾選了包含子網域核取方塊,酷。www.examplewebsite.com也會開啟HSTS。
深入瞭解HSTS標頭。
其他網域安全設定(僅適用於Content Hub)
如果你擁有Content Hub Starter、Professional或Enterprise帳戶,可以開啟以下額外安全設定。
X-Frame-Options
開啟X-Frame-Options回應標頭,以指示瀏覽器是否可以在< frame >、< iframe >、< embed >或< object > HTML標籤中呈現頁面。
要打開X-Frame-Options ,請選擇X-Frame-Options復選框,然後從下拉菜單中選擇一個指令:
- 若要避免將網域中的頁面載入上述標籤中的任何頁面,請選取「拒絕」。
- 如要允許網域內的頁面只載入上述標籤,請選取「相同來源」。
深入瞭解X-Frame-Options標頭。
X-XSS-Protection
開啟X-XSS-Protection標頭,在偵測到跨網站指令碼時,透過防止載入頁面,為舊版網頁瀏覽器的使用者新增一層安全性。
若要開啟此標題,請選取X-XSS-Protection核取方塊,然後從下拉式功能表中選取XSS設定:
- 若要停用XSS篩選,請選擇0。
- 若要在偵測到跨網站指令碼攻擊時移除頁面的不安全部分,請選擇1。
- 若要防止在偵測到攻擊時渲染頁面,請選擇1 ; MODE = BLOCK。
深入瞭解X-XSS-Protection標頭。
X-Content-Type-Options
開啟X-Content-Type-Options標題,以選擇退出MIME類型嗅探頁面。 啟用此設定會告訴瀏覽器遵循Content-Type標頭中通告的MIME類型。
Content-Security-Policy
開啟Content-Security-Policy標頭,以控制使用者代理程式可在頁面上載入的資源。 此標頭有助於防止跨網站指令碼攻擊。
若要開啟Content-Security-Policy標頭,請選取Content-Security-Policy核取方塊,然後指定您的Policy指令。 如需可用指令的清單,請參閱Mozilla的Content-Security-Policy標頭指南。
若要在網頁版行銷電子郵件中使用Content-Security-Policy標題,請新增「unsafe-inline」關鍵字,如此處所述。 否則,電子郵件中的樣式將被封鎖。
要允許< script >元素僅在它們包含與隨機生成的標題值匹配的nonce屬性時執行,請選擇啟用nonce。
請注意: HubSpot會在每個請求中為HubSpot的所有腳本和HubSpot上託管的所有腳本自動生成一個隨機值。
應包含以下網域和指令,以確保HubSpot託管頁面上的完整功能:
域名* | 指令 | 工具 |
* .hsadspixel.net | script-src | 廣告 |
* .hs-analytics.net | script-src | 分析 |
* .hubapi.com | connect-src | API調用( HubDB、表單提交) |
js.hscta.net | script-src、img-src、connect-src | 行動呼籲(按鈕) |
js-eu1.hscta.net (僅限歐洲資料託管) | script-src、img-src、connect-src | 行動呼籲(按鈕) |
no-cache.hubspot.com | img-src | 行動呼籲(按鈕) |
* .hubspot.com | script-src、img-src、connect-src、frame-src | 行動呼籲(彈出式視窗)、聊天流程 |
* .hs-sites.com | frame-src | 行動呼籲(彈出式視窗) |
* .hs-sites-eu1.com (僅限歐洲資料託管) | frame-src | 行動呼籲(彈出式視窗) |
static.hsappstatic.net | script-src | 內容(鏈輪選單、影片嵌入) |
* .usemessages.com | script-src | 對話、聊天流程 |
* .hs-banner.com | script-src、connect-src | Cookie橫幅 |
* .hubspotusercontent##.net ( # #可以是00、10、20、30或40 ) | script-src、img-src、style-src | 文件 |
* .hubspot.net | script-src、img-src、frame-src | 文件 |
play.hubspotvideo.com | frame-src | 檔案(影片) |
play-eu1.hubspotvideo.com (僅限歐洲資料託管) | frame-src | 檔案(影片) |
cdn2.hubspot.net | img-src, style-src | 文件、樣式表 |
您的網域已連結至HubSpot | frame-src、style-src、script-src | 文件、樣式表 |
* .hscollectedforms.net | script-src、connect-src | 表單(非HubSpot表單) |
* .hsleadflows.net | script-src | 表單(彈出表單) |
* .hsforms.net | script-src、img-src、frame-src | 表單、調查 |
* .hsforms.com | script-src、img-src、frame-src、connect-src、child-src | 表單、調查 |
* .hs-scripts.com | script-src | HubSpot追蹤程式碼 |
* .hubspotfeedback.com | script-src | 調查 |
feedback.hubapi.com | script-src | 調查 |
feedback-eu1.hubapi.com (僅限歐洲資料託管) | script-src | 調查 |
Content-Security-Policy-Report-Only
開啟Content-Security-Policy-Report-Only標頭以監視策略指令。 政策指令不會強制執行,但會監控其影響,這在實驗政策時可能很有用。
若要開啟此標頭,請選取Content-Security-Policy-Report-Only核取方塊,然後輸入您的Policy指令。
要允許< script >元素僅在它們包含與隨機生成的標題值匹配的nonce屬性時執行,請選擇打開nonce。
深入瞭解Content-Security-Policy-Report-Only標頭。
推薦人政策
開啟推薦人政策標題,以控制推薦人資訊應包含在預約中的數量。
若要開啟此標題,請選取推薦人政策核取方塊,然後從下拉式選單中選取指令。
如需可用指令的定義,請參閱Mozilla的Referrer-Policy指南。
Permissions-Policy
開啟Permissions-Policy標頭以控制頁面上瀏覽器功能的使用,包括< iframe >元素內容。
若要開啟此標題,請選取「權限-政策」核取方塊,然後輸入您的指令。 如需指令清單,請參閱Mozilla的Permissions-Policy指南。