TLS 認証
組み込みが Stripe と安全に通信していることを確認する方法をご紹介します。
組み込みは HTTPS (Transport Security Layer (TLS) 接続を介して暗号化された HTTP プロトコル) を介して、Stripe の API に安全に接続します。Stripe が管理する SDK、curl、またはその他の HTTP クライアントのいずれを使用して Stripe API に接続する場合でも、TLS によって Stripe サーバーへの接続が保証され、サードパーティーが API リクエストやレスポンスを読んだり、変更したりできないようになります。
TLS 証明書
TLS 証明書は、組み込みが Stripe 所有のサーバーに接続していることを確認する方法です。デジタル証明書には、サーバーのホスト名、サーバー/ドメインの所有者に関する情報、有効期限、証明書を発行またはそれに署名した信頼される認証局 (CA) の ID が含まれます (これだけに限定されません)。サーバーに接続するクライアントは証明書でパスの検証を実行し、証明書の件名フィールドが接続先のサーバーのドメイン名に一致すること、証明書の期限が切れていないこと、信頼される CA が証明書を発行したことを確認します。詳細については、証明書についてお読みください。
証明書のピンニング
Stripe API エンドポイントに接続すると、ご使用の OS が提供する CA 証明書バンドルから、またはブラウザーや Stripe バインディング (この接続に使用された HTTP クライアントに応じて異なる) から証明書が読み込まれます。これらの証明書は、証明書パスの検証時に、信頼できる有効な証明書として取り扱われます。証明書のピンニングは、特定の HTTPS ウェブサイトやエンドポイントで有効とされる証明書を制限するプロセスです。Stripe では、システムの新しい証明書を展開する際に組み込みとの間で問題が発生しないようにするため、証明書のピンニングを使用しないことをお勧めします。主要証明書の 1 つである DigiCert も、証明書のピンニングを使用しないように勧めています。
Stripe ユーザーであるお客様が、何らかの理由から証明書のピンニングを使用する必要がある場合には、以下にリストされたルート証明書「のみ」(およびそれらすべて) をピンニングしてください。証明書チェーン全体、中間証明書、またはエンドエンティティ (リーフ) 証明書をピンニングしないでください。それらをピンニングすると、Stripe は数カ月ごとにシステムの証明書 (中間 CA 証明書を含む) を更新するため、組み込みが中断するリスクが大きくなります。
また、以下に表示されているルート証明書は今後、定期的にまたは緊急時に変更される可能性もあります。ルート証明書のリストを定期的に変更する場合は、API 通知のメーリングリストを通じて、変更を実施する 7 日前までに通知します。この 7 日前通知をもって、モバイルアプリケーションを含む Stripe API に接続するすべてのクライアントが、この証明書リストの変更に対応できるようにする必要があります。緊急時の変更の場合は、通知から変更までの期間がさらに短くなる可能性があります。
Stripe ドメインのルート証明書
DigiCert Global Root CA
- シリアル番号:
08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a
- SHA1 フィンガープリント:
a8:98:5d:3a:65:e5:e5:c4:b2:d7:d6:6d:40:c6:dd:2f:b1:9c:54:36
- シリアル番号:
DigiCert Global Root G2
- シリアル番号:
03:3a:f1:e6:a7:11:a9:a0:bb:28:64:b1:1d:09:fa:e5
- SHA1 フィンガープリント:
df:3c:24:f9:bf:d6:66:76:1b:26:80:73:fe:06:d1:cc:8d:4f:82:a4
- シリアル番号:
DigiCert Global Root G3
- シリアル番号:
05:55:56:bc:f2:5e:a4:35:35:c3:a4:0f:d5:ab:45:72
- SHA1 フィンガープリント:
7e:04:de:89:6a:3e:66:6d:00:e6:87:d3:3f:fa:d9:3b:e8:3d:34:9e
- シリアル番号:
DigiCert High Assurance EV Root CA
- シリアル番号:
02:ac:5c:26:6a:0b:40:9b:8f:0b:79:f2:ae:46:25:77
- SHA1 フィンガープリント:
5f:b7:ee:06:33:e2:59:db:ad:0c:4c:9a:e6:d3:8f:1a:61:c7:dc:25
- シリアル番号:
GlobalSign ルート R3
- シリアル番号:
04:00:00:00:00:01:21:58:53:08:a2
- SHA1 フィンガープリント:
d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad
- シリアル番号:
GlobalSign ルート R6
- シリアル番号:
45:e6:bb:03:83:33:c3:85:65:48:e6:ff:45:51
- SHA1 フィンガープリント:
80:94:64:0e:b5:a7:a1:ca:11:9c:1f:dd:d5:9f:81:02:63:a7:fb:d1
- シリアル番号:
GlobalSign ECC ルート R5
- シリアル番号:
60:59:49:e0:26:2e:bb:55:f9:0a:77:8a:71:f9:4a:d8:6c
- SHA1 フィンガープリント:
1f:24:c6:30:cd:a4:18:ef:20:69:ff:ad:4f:dd:5f:46:3a:1b:69:aa
- シリアル番号:
上記のルート CA 証明書は、DigiCert、GlobalSign から検証およびダウンロードできます。