Comunicação Webhook, BACEN e Certificação Digital

como a comunicação webhook (GN -> cliente) é privada, não vejo sentido na exigência de validar a entidade certificadora. acho que o BACEN viajou nessa 😦

Por ser uma determinação do BACEN todos os PSPs tem que cumprir esse padrão

O ponto do BACEN é que certificação digital não é apenas o resultado matemático (uma chave pública e uma privada) mas também o processo. E que o processo depende das práticas de certificação que envolvem ter ACs com credibilidade.

na verdade acabei de ler o manual, e aparentemente apenas o certificado do https://qrcodes-pix.gerencianet.com.br (onde ficam os payloads dos QR dinâmicos) deve ser emitido por entidade amplamente reconhecida (e deve ser "EV", inclusive). já os certificados de mTLS pra consumo da API e pra envio dos callbacks não tem exigência de ser emitido por CA reconhecida.

emitir um certificado é trivial, Rubens 😂 .. cadeia de certificação só é necessária quando vc não conhece previamente o seu interlocutor e precisa validar que "ele é quem diz ser". para criptografar a comunicação entre 2 pontas que sabem quem é quem e já se confiam mutuamente, o mTLS pode ser com qualquer certificado

Tanto não precisa ser EV no mTLS que pode ser uma CA própria da GN como ela está fazendo... mas aí a GN atribuiu confiança à sua CA através dos processos de emissão.