Communications sécurisées

Ce guide fournit des informations sur la sécurité client-serveur pour vous aider à garantir des communications sécurisées entre votre client et votre serveur.

Utilisation de TLS et HTTPS

TLS désigne le processus de transmission sécurisée des données entre le client — l'application ou le navigateur que votre client utilise — et votre serveur. Cette opération a été effectuée à l'origine à l'aide du protocole SSL (Secure Sockets Layer). Cependant, ce protocole est obsolète et n'est plus sécurisé, et a été remplacé par le protocole TLS. Le terme "SSL" continue d'être utilisé familièrement pour désigner TLS et sa fonction de protection des données transmises.

Les pages de paiement doivent utiliser une version moderne de TLS (par exemple, TLS 1.2), car elle réduit considérablement le risque que vous ou vos clients soyez exposés à une attaque de type « intercepteur ». TLS tente d’accomplir ce qui suit :

Encrypt and verify the integrity of traffic between the client and your server. Verify that the client is communicating with the correct server. In practice, this usually means verifying that the owner of the domain and the owner of the server are the same entity. This verification relies on a TLS certificate, a cryptographic credential issued by a trusted certificate authority (CA) that binds the server’s identity to its domain. This helps prevent man-in-the-middle attacks. Without it, there’s no guarantee that you’re encrypting traffic to the right recipient.
Additionally, your customers are more comfortable sharing sensitive information on pages visibly served over HTTPS, which can help increase your customer conversion rate.

Si nécessaire, vous pouvez tester votre intégration sans utiliser HTTPS et l'activer une fois que vous êtes prêt à accepter les charges en direct. Cependant, toutes les interactions entre votre serveur et Affirm doivent utiliser TLS 1.2 (c'est-à-dire lors de l'utilisation de nos bibliothèques).

Épinglage de certificats

L'épinglage de certificats limite votre application à l'établissement d'une connexion HTTPS sécurisée avec les autorités de certification (AC) auxquelles vous faites explicitement confiance. Affirm recommande de ne pas épingler les certificats afin d'éviter des pannes potentiellement importantes lors des rotations/changements de certificats. Voir le billet de blogue de Cloudflare pour une autre explication.

❗️

Lignes directrices sur l'ancrage de certificats

  • Si vous devez utiliser l'épinglage de certificats, épinglez uniquement les certificats TLS racine.
  • ne épinglez pas l'ensemble de la chaîne de certificats, le certificat intermédiaire, ou le certificat final. Si vous le faites, vous courez le risque de rompre votre intégration car Affirm met à jour les certificats pour nos systèmes. Pour vos intégrations avec Affirm, veuillez vous assurer que les certificats racines suivants sont ajoutés à la liste blanche.

Veuillez noter que cela ne couvre que les connexions TLS et non les connexions mTLS.

Certificats racines pour les domaines Affirm

Veuillez voir ci-dessous les certificats racine pour les domaines Affirm :

  • GTS Root R1
    • Empreinte SHA-256 : d9:47:43:2a:bd:e7:b7:fa:90:fc:2e:6b:59:10:1b:12:80:e0:e1:c7:e4:e4:0f:a3:c6:88:7f:ff:57:a7:f4:cf
  • GTS Root R2
    • Empreinte SHA-256 : 8d:25:cd:97:22:9d:bf:70:35:6b:da:4e:b3:cc:73:40:31:e2:4c:f0:0f:af:cf:d3:2d:c7:6e:b5:84:1c:7e:a8
  • GTS Root R3
    • Empreinte SHA-256 : 34:d8:a7:3e:e2:08:d9:bc:db:0d:95:65:20:93:4b:4e:40:e6:94:82:59:6e:8b:6f:73:c8:42:6b:01:0a:6f:48
  • GTS Root R4
    • Empreinte SHA-256 : 34:9d:fa:40:58:c5:e2:63:12:3b:39:8a:e7:95:57:3c:4e:13:13:c8:3f:e6:8f:93:55:6c:d5:e8:03:1b:3c:7d
  • GlobalSign R4
    • Empreinte SHA-256 : b0:85:d7:0b:96:4f:19:1a:73:e4:af:0d:54:ae:7a:0e:07:aa:fd:af:9b:71:dd:08:62:13:8a:b7:32:5a:24:a2
  • Certainement racine R1
    • Empreinte SHA-256 : 77:b8:2c:d8:64:4c:43:05:f7:ac:c5:cb:15:6b:45:67:50:04:03:3d:51:c6:0c:62:02:a8:e0:c3:34:67:d3:a0
  • Certainement racine E1
    • Empreinte SHA-256 : b4:58:5f:22:e4:ac:75:6a:4e:86:12:a1:36:1c:5d:9d:03:1a:93:fd:84:fe:bb:77:8f:a3:06:8b:0f:c4:2d:c2
  • Starfield Root Certificate Authority - G2
    • Empreinte SHA-256 : 2c:e1:cb:0b:f9:d2:f9:e1:02:99:3f:be:21:51:52:c3:b2:dd:0c:ab:de:1c:68:e5:31:9b:83:91:54:db:b7:f5

Vous pouvez vérifier et télécharger les certificats d'autorité de certification racine ci-dessus à partir des éléments suivants :

Chiffrements pris en charge

Liste actuelle des chiffrements pris en charge à compter du 02/12/2025

  • AEAD-AES128-GCM-SHA2561
  • AEAD-AES256-GCM-SHA3842
  • AEAD-CHACHA20-POLY1305-SHA2563
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-CHACHA20-POLY1305
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384

Protocoles et chiffrements pris en charge

📘

Meilleures pratiques de sécurité

Visitez notre page Meilleures pratiques de sécurité pour découvrir les recommandations et les stratégies d'Affirm, afin d'assurer la sécurité des renseignements sensibles.


Cette page vous a-t-elle aidé?