知識庫

HubSpot 中的 SSL 和域安全

作者:HubSpot Support | Nov 21, 2022 1:12:58 PM

当您将域名连接到您的账户时,HubSpot会自动通过谷歌信任服务提供标准SAN SSL证书。标准 SSL 配置通常需要几分钟,但最长可能需要四小时。

如果购买了自定义 SSL 附加组件,就可以将自定义 SSL 证书上传到 HubSpot。您还可以为每个连接的域配置安全设置,如 TLS 版本和安全标头。

请注意:如果在 SSL 配置过程中遇到错误,请进一步了解SSL 证书错误的故障排除

SSL

HubSpot 提供的标准 SAN SSL 是免费的,并在到期前 30 天自动续期。要更新证书

  • 您必须是 HubSpot 客户。
  • 您的域名 CNAME 必须指向初始过程中设置的安全服务器。
如果你希望使用不同的提供商或证书类型,可以通过购买自定义 SSL附加组件为你的账户添加自定义 SSL证书。您不能使用已有的 SSL 证书,因为这会影响证书的安全性。
 
请注意
  • Google 信任服务是为您的域名提供证书的证书颁发机构。如果你的域名有证书颁发机构授权(CAA)记录,请确保 pki.goog 在列,这样 SSL 才能被提供或续期。
  • 如果使用的是 Let's Encrypt SSL 证书,建议删除 CAA 记录,然后添加 CAA 记录以支持 Google 信任服务。这将确保你的网站在旧版安卓设备上正常运行。

预先配置 SSL 证书

如果您要将现有网站迁移到 HubSpot,您可能需要预先配置 SSL 证书,这样就不会出现 SSL 停机时间。在将域名连接到 HubSpot 时,你可以预先配置 SSL 证书。

要预先配置 SSL 证书:

  • 在域名连接过程的DNS 设置页面上,如果您的网站已有 SSL 证书,则会出现一个横幅。单击单击此处开始配置过程。



  • 按照对话框中的说明操作:
    • 登录 DNS 提供商账户,如 GoDaddy 或 Namecheap。
    • 在 DNS 提供商中,导航到管理 DNS 记录的 DNS设置 屏幕。
    • 使用对话框中提供的主机(名称),根据对话框创建新 DNS 记录。

请注意:如果使用的是Network SolutionsNamecheapGoDaddy,则无需复制根域。您的提供商会自动将根域添加到 DNS 记录的末尾。

  • 单击 "验证"。处理更改可能需要四个小时。如果单击 "验证 "时出现错误,请稍等片刻,然后单击 "验证 "再次检查。

证书预配置完成后,域连接屏幕上会出现一个确认横幅。然后您就可以继续连接您的域了。

设置域控制验证 (DCV) 记录

如果你在域名设置中看到 "反向代理域名需要你的操作以避免网站中断 "的错误提示,建议添加域名控制验证(DCV)记录,以保持你的 SSL 证书是最新的。

你可以通过以下步骤添加 DCV 记录:
  • 在左侧边栏菜单中,导航至内容>域名和 URL
  • 对于每个带有 "需要执行操作 " 标签的域,单击 "编辑 "下拉菜单并选择 "显示 DNS 记录"。

  • 在另一个窗口中,登录 DNS 提供商并访问 DNS 记录。有关编辑最常见 DNS 提供商 DNS 记录的详细说明,请查看DNS 设置指南
  • 在 HubSpot 中,复制对话框中的 DCV 记录值,然后将其粘贴到 DNS 提供商账户中的新记录中。在 DNS 账户中添加新的 DCV 记录后,DNS 更改可能需要 24 小时才能完成更新。

域安全设置

您可以为连接到 HubSpot 的每个子域自定义安全设置。安全设置包括网站协议(HTTP 与 HTTPS)、TLS 版本和网站安全标头。

更新域的安全设置:

  • 在左侧边栏菜单中,导航至内容>域名和 URL
  • 在域旁边,单击操作 菜单并选择更新域安全设置


HTTPS 协议

您可以要求网站上的所有页面都通过 HTTPS 安全加载。打开此设置后,通过 HTTP 加载的内容(如图片和样式表)将无法在网站上加载。在 HTTPS 网站上通过 HTTP 加载的内容称为混合内容。了解如何解决页面上的混合内容错误

要打开 HTTPS 协议,请选择 " 要求 HTTPS "复选框。

TLS 版本

默认情况下,HubSpot 服务器将接受使用 TLS 1.0 及以上版本的连接。

要更改支持的 TLS 版本,请单击TLS 版本下拉菜单,选择要支持的最低 TLS 版本 。尝试使用低于最低设置的 TLS 版本的连接将失败。

安全标头

您可以为每个域配置域安全并打开安全标头。

HTTP 严格传输安全(HSTS)

您可以通过启用 HTTP 严格传输安全(HSTS)为网站增加一层额外的安全保护。HSTS 会指示浏览器将所有 HTTP 请求转换为 HTTPS 请求。启用 HSTS 后,子域上 URL 的请求响应将添加 HSTS 标头。

  • 要打开 HSTS,请单击 "安全标头"选项卡,然后选择HTTP 严格传输安全(HSTS)复选框。


  • 要设置浏览器将 HTTP 转换为 HTTPS 请求的记忆时间,请单击持续时间 (max-age)下拉菜单并选择持续时间
  • 要在域的 HSTS 标头中包含预加载指令,请选择启用预加载复选框。了解有关HSTS 预加载的更多信息。
  • 要在选定子域下的所有子域中包含 HSTS 标头,请选择包含子域复选框。例如,如果www.examplewebsite.com已打开 HSTS 并选择了包含子域 复选框,cool.www.examplewebsite.com也将打开 HSTS。

了解有关HSTS 标头的更多信息。

其他域安全设置仅限内容集线器)

如果您有Content Hub StarterProfessionalEnterprise 帐户,您可以打开下面的附加安全设置。

X-Frame-Options

打开 X-Frame-Options 响应标头,以指示浏览器是否能以 、