Como utilizar o mTLS e webhook de forma segura com o Efí Pay

[#duvida] Tendo em vista que todos os certificados emitidos pela GN de validação do mTLS são iguais para todos os utilizadores , isso quer dizer que um outro utilizador pode de má fé tentar registrar uma outra rota de destino do webhook na GN e assim pode também enviar status de "RECEBIDA" para o utilizador atacado. Antes era um meio mTLS, agora serve para que mesmo este mTLS ? Se todas as chaves dadas pela GN são iguais para todos. Basta saber a chave .pem e ter o certificado .pem do atacado. Neste cenário , preciso esconder o máximo o nome da minha url de recebimento e o arquivo .pem gerado do meu .p12 . Correto ? Alguém desenha para que serve o mTLS ?

Junte-se à festa em https://github.com/bacen/pix-api/issues/239

é só uma barreira a mais... mas quando você receber a notificação com o status RECEBIDO, você consulta em /v2/cob/txid para pegar o status da GN

Neste caso para que serve mesmo o webhook ? Se tenho que conferir de novo o STATUS recebido por ele ?

Serve para te notificar que houve alteração de status, para não ficar consultando de minuto em minuto...

Que pode ter vindo de qualquer lugar do planeta. Já que o mTLS não serve.

exatamente, por isso consulta..

Então não era melhor apenas consultar ? Já que não posso confiar 100% ( meio 100% no mTLS ou nada ) e receber algo que não sei efetivamente de onde vem .

Está dizendo que é melhor ficar consultando de minuto em minuto até ser confirmada? Imagina quantas transações vão ser abandonada e você vai continuar consultando..
Vai gerar uma fila?

Quem disse que era para consultar foi você , kkkkk, eu perguntei acima para serve mesmo mTLS 🙂 https://discord.com/channels/775322853884821504/775328670784159744/786224165966577684

Quando comecei usar a gerencianet, criei uma pagina para callback. Ainda não tinha me atentado ao fato de meu servidor não ter as condições para o mTLS. Fiz como você sugeriu, recebia a notificação e consultava a cobrança em /v2/cob/txid para me certificar de que a notificação era realmente válida. Do meu ponto de vista, é uma camada extra de segurança e vale a pena fazer a consulta e validar as notificações

Exatamente, se o certificado funcionar como deve, perfeito.. mas desse modo é mais garantido..

Só não esquece de conferir se os valores batem, digo, o valor que você registrou no seu lado e o valor em pix->valor

Sim, eu faço essa checagem. Se estiver faltando, exibo mensagem na hora para o usuário e gero uma nova cobrança com o valor restante. No meu caso não uso webhook. Faço a consulta na tela enquanto o usuário paga, pois não tenho como habilitar o mTLS. Daí testo o valor recebido antes mesmo do usuário sair da tela

Aqui se tivesse o problema de 403 para ips externos, eu iria cria um domínio apenas para receber as notificações, hospedar num servidor daqui e dai informar meu app em produção. (Mas em produção não ocorre o erro 403) 🙂