Histórico de mensagens sobre an em pix

Cara, eu não manjo de backend... não faço a menor ideia de como configurar isso

Não é certificado o problema aí... pode ter problema de certificado também, mas por enquanto é problema de configuração do webserver interno (aquele para o qual você manda via proxy_pass no nginx).

E esse teste está falhando... e com razão, você mesmo viu que /webhook/ o seu servidor interno não sabe o que fazer.

Porém quando ele bate no post ele da o erro

Eu faço um put passando a chave e a url_webhook

O PUT é para configurar, mas a Gerencianet faz POST na URL que você passa.

Apontando o post para o mesmo endpoint

Na doc pede pra passar um put, usando o SDK nodejs

Pq o servidor interno para o qual você está passando a requisição /webhook/ não tem a menor idéia do que fazer com ela...

Eu parei a aplicação e rodei de novo... agora quando acesso o endpoint do webhook sem o location retorna:

Sim... curioso que o request para eles deu (HTTP/1.1 502 Bad Gateway) , pior ainda que o 401/403 que a Gerencianet está tendo.

O que deu para notar, mas que não explicam os resultados com 401/403/502:
- Certificado wildcard para o domínio, e isso não pode ser usado na API Pix. O certificado deveria ser para api.dominio
- Configurações de ciphers TLS que apesar de atender ao mínimo da API Pix (incluir o TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256), tem muitos ciphers fracos. Seguir o especificado em https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 deve melhorar isso.

Se você tira o location e tenta acessar via browser o endereço, o que acontece ?

https://www.ssllabs.com/ssltest/analyze.html?d=api.tarothekate.com
Assim?

Mas pode ser o link da página mesmo... https://www.ssllabs.com/ssltest/analyze.html?d=exemplo.com.br&s=10.0.0.1

Tem um bloco de "Handshake Simulation", e aparentemente passou em todos os agentes...

Lembra o que ta escrito?
Não achei nada relacionado a analise completa... apenas "Scan Another"