Author Image

gabrieligbastos

Dec 12, 2020

Validação e Troca de Certificado da GerenciaNet para Webhooks

webhookscertificadovalidaçãomudançachave privadathumbprintCAroll-over

Fala galera uma dúvida, o certificado da GerenciaNet que vão enviar os webhooks, pra eu fazer a validação no recebimento do meu webhook, pode ser modificado com o tempo? Ou se for modificado vocês nos avisariam com antecedência? Pergunto isso, pois ou coloco direto o thumbprint pra fazer a validação ou então, vou escrever um código que a cada request que ele receber, pra verificar ele vai dar um get no {endpoint do certificado} calcular o thumbprint e conferir... Mas ai pra cada webhook que eu receber eu vou acabar floodando o endpoint do certificado de vocês

Respostas (8):
Avatar discord do usuario oleoessencial

oleoessencial

12/12/2020

Se for mudado será um caos, não tem lógica mudar, pois vai parar todas as aplicações existentes que dependem do webhook 😦 . Creio que mudem se houver vazamento da chave privada , ai sim tem que mudar.

Avatar discord do usuario rubenskuhl

rubenskuhl

12/12/2020

Pelo contrário, chaves privadas tem que ser trocadas de tempos em tempos. Então o que é esperado é que o certificado cliente seja assinado pela CA deles, e que seja trocado a cada 3 a 12 meses. Já o da CA, talvez a cada 2 a 5 anos, com algum período de sobreposição.

Avatar discord do usuario oleoessencial

oleoessencial

12/12/2020

Se for de 10 em 10 anos não tem problema, a questão é mudar toda semana 🙂

Avatar discord do usuario rubenskuhl

rubenskuhl

12/12/2020

10 anos era a prática nos anos 2000. Hoje já não é muito bem-visto. Mas ainda se mede em anos.

Avatar discord do usuario oleoessencial

oleoessencial

12/12/2020

Podem mudar, como o colega colocou, desde de que avisem com muitos dias de antecedência 🙂 Mesmo assim ainda vai parar muita gente que não vão saber que mudou e só depois vão vim atrás para corrigir 😦

Avatar discord do usuario rubenskuhl

rubenskuhl

12/12/2020

Mas se ele restringir o thumbprint do certificado final, vai ter surpresa em poucos meses... pq esse tende a mudar bem mais do que o da CA.

Avatar discord do usuario gabrieligbastos

gabrieligbastos

12/12/2020

Rubens, qual a verificação que eu deveria verificar exatamente então? pode ajudar?

Avatar discord do usuario rubenskuhl

rubenskuhl

12/12/2020

De que o certificado é da CA raiz da GN. E quando ela fizer roll-over de CA, ter a velha e a nova até a velha ser phased out.