Passer au contenu principal
Les connexions TLS sont requises pour accéder aux endpoints de X API. La communication sur TLS préserve la confidentialité et la sécurité des utilisateurs en protégeant les informations échangées entre l’utilisateur et X API lorsqu’elles transitent sur l’Internet public. Les connexions à X API requièrent la version 1.2 de TLS.

Vérification

Utiliser un magasin de certificats racine à jour

Il est important que votre application ou votre bibliothèque utilise un magasin de certificats racine fiable et à jour lors de la vérification du certificat X. Lorsque c’est possible, utiliser le magasin de certificats racine fourni par votre système d’exploitation peut être l’approche la plus simple. Sinon, le magasin de certificats racine Mozilla (NSS) est maintenu de manière publique et transparente. cURL fournit également une version de ce magasin au format PEM. X émet actuellement la majorité de nos certificats à partir de DigiCert High Assurance EV Root CA, mais ce n’est pas le cas pour 100 % des certificats liés à X et cela pourrait ne plus être vrai à l’avenir. Se fier uniquement aux autorités racines DigiCert actuellement utilisées peut donc entraîner des problèmes avec votre application à l’avenir.

Vérifier les CRL et le statut OCSP

De nombreuses applications ne vérifient pas la Certificate Revocation List pour les certificats renvoyés ou se reposent sur le système d’exploitation pour le faire. Assurez-vous que votre application ou votre bibliothèque TLS est configurée pour imposer la vérification des CRL et d’OCSP (Online Certificate Status Protocol) avant d’accepter le certificat de X.

CDNs

Lorsque vous affichez des Tweets contenant des médias, utilisez l’attribut media_url_https pour les URL HTTPS à utiliser lors de l’affichage des images. À l’avenir, toutes les URL renvoyées par les endpoints de l’API fourniront des chemins HTTPS.

Indiquer l’état de la sécurité

Si possible, vous devriez afficher une indication de l’état de sécurité actuel entre votre application et X. Certains navigateurs web le font en affichant une icône de cadenas, tandis que d’autres indiquent l’état actuel de la connexion au moyen d’un message descriptif.