AccueilCommencerSolutionsPlateformesIntégrations globales
DocsRecetteRéférence APIChangelogRéférence APIRecetteChangelog
AccueilCommencerSolutionsPlateformesIntégrations globalesSe connecter
Docs

Communications sécurisées

Ce guide fournit des informations sur la sécurité client-serveur pour vous aider à garantir des communications sécurisées entre votre client et votre serveur.

Utilisation de TLS et HTTPS

TLS désigne le processus de transmission sécurisée des données entre le client — l'application ou le navigateur que votre client utilise — et votre serveur. Cette opération a été effectuée à l'origine à l'aide du protocole SSL (Secure Sockets Layer). Cependant, ce protocole est obsolète et n'est plus sécurisé, et a été remplacé par le protocole TLS. Le terme "SSL" continue d'être utilisé familièrement pour désigner TLS et sa fonction de protection des données transmises.

Les pages de paiement doivent utiliser une version moderne de TLS (par exemple, TLS 1.2), car elle réduit considérablement le risque que vous ou vos clients soyez exposés à une attaque de type « intercepteur ». TLS tente d’accomplir ce qui suit :

Chiffrez et vérifiez l'intégrité du trafic entre le client et votre serveur. Vérifiez que le client communique avec le bon serveur. Dans la pratique, cela signifie généralement qu'il faut vérifier que le propriétaire du domaine et le propriétaire du serveur sont la même entité. Cette vérification repose sur un certificat TLS, une attestation cryptographique délivrée par une autorité de certification de confiance (AC) qui lie l’identité du serveur à son domaine. Cela aide à prévenir les attaques de type « homme du milieu ». Sans cela, rien ne garantit que vous cryptez le trafic vers le bon destinataire.
De plus, vos clients sont plus à l'aise pour partager des renseignements sensibles sur des pages visiblement servies via HTTPS, ce qui peut aider à augmenter votre taux de conversion client.

Si nécessaire, vous pouvez tester votre intégration sans utiliser HTTPS et l'activer une fois que vous êtes prêt à accepter les charges en direct. Cependant, toutes les interactions entre votre serveur et Affirm doivent utiliser TLS 1.2 (c'est-à-dire lors de l'utilisation de nos bibliothèques).

Épinglage de certificats

L'épinglage de certificats limite votre application à l'établissement d'une connexion HTTPS sécurisée avec les autorités de certification (AC) auxquelles vous faites explicitement confiance. Affirm recommande de ne pas épingler les certificats afin d'éviter des pannes potentiellement importantes lors des rotations/changements de certificats. Voir le billet de blogue de Cloudflare pour une autre explication.

❗️

Lignes directrices sur l'ancrage de certificats

  • Si vous devez utiliser l'épinglage de certificats, épinglez uniquement les certificats TLS racine.
  • ne épinglez pas l'ensemble de la chaîne de certificats, le certificat intermédiaire, ou le certificat final. Si vous le faites, vous courez le risque de rompre votre intégration car Affirm met à jour les certificats pour nos systèmes. Pour vos intégrations avec Affirm, veuillez vous assurer que les certificats racines suivants sont ajoutés à la liste blanche.

Veuillez noter que cela ne couvre que les connexions TLS et non les connexions mTLS.

Certificats racines pour les domaines Affirm

Veuillez voir ci-dessous les certificats racine pour les domaines Affirm :

  • GTS Root R1
    • Empreinte SHA-256 : d9:47:43:2a:bd:e7:b7:fa:90:fc:2e:6b:59:10:1b:12:80:e0:e1:c7:e4:e4:0f:a3:c6:88:7f:ff:57:a7:f4:cf
  • GTS Root R2
    • Empreinte SHA-256 : 8d:25:cd:97:22:9d:bf:70:35:6b:da:4e:b3:cc:73:40:31:e2:4c:f0:0f:af:cf:d3:2d:c7:6e:b5:84:1c:7e:a8
  • GTS Root R3
    • Empreinte SHA-256 : 34:d8:a7:3e:e2:08:d9:bc:db:0d:95:65:20:93:4b:4e:40:e6:94:82:59:6e:8b:6f:73:c8:42:6b:01:0a:6f:48
  • GTS Root R4
    • Empreinte SHA-256 : 34:9d:fa:40:58:c5:e2:63:12:3b:39:8a:e7:95:57:3c:4e:13:13:c8:3f:e6:8f:93:55:6c:d5:e8:03:1b:3c:7d
  • GlobalSign R4
    • Empreinte SHA-256 : b0:85:d7:0b:96:4f:19:1a:73:e4:af:0d:54:ae:7a:0e:07:aa:fd:af:9b:71:dd:08:62:13:8a:b7:32:5a:24:a2
  • Certainement racine R1
    • Empreinte SHA-256 : 77:b8:2c:d8:64:4c:43:05:f7:ac:c5:cb:15:6b:45:67:50:04:03:3d:51:c6:0c:62:02:a8:e0:c3:34:67:d3:a0
  • Certainement racine E1
    • Empreinte SHA-256 : b4:58:5f:22:e4:ac:75:6a:4e:86:12:a1:36:1c:5d:9d:03:1a:93:fd:84:fe:bb:77:8f:a3:06:8b:0f:c4:2d:c2
  • Starfield Root Certificate Authority - G2
    • Empreinte SHA-256 : 2b:07:1c:59:a0:a0:ae:76:b0:ea:db:2b:ad:23:ba:d4:58:0b:69:c3:60:1b:63:0c:2e:af:06:13:af:a8:3f:92

Vous pouvez vérifier et télécharger les certificats d'autorité de certification racine ci-dessus à partir des éléments suivants :

Chiffrements pris en charge

Liste actuelle des chiffrements pris en charge à compter du 02/12/2025

  • AEAD-AES128-GCM-SHA2561
  • AEAD-AES256-GCM-SHA3842
  • AEAD-CHACHA20-POLY1305-SHA2563
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-CHACHA20-POLY1305
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384

Protocoles et chiffrements pris en charge

📘

Meilleures pratiques de sécurité

Visitez notre page Meilleures pratiques de sécurité pour découvrir les recommandations et les stratégies d'Affirm, afin d'assurer la sécurité des renseignements sensibles.

Mis à jour 7 days ago