Histórico

Mas se alguém vai ser multado ou punido é o psp e não o cliente...

Não, não verificar não impede de você checar mTLS do seu lado.

As regras do BACEN tem força de regulamento administrativo para atribuições da competência do BACEN. Você não precisa assinar nada para já estar sujeito a elas.

Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...

Deixando apenas no homologação para testes no desenvolvimento.

É oq estou falando...

Então é como eu falei, eles devem remover a opção do ambiente de produção.

Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.

Permitirem q eu digo, é dar a opção na doc de uso...

Mas então, só pelo fato deles permitirem, se o BC realmente não permitir, eles já estão infringindo a regra... Lembro q no começo, eles eram regidos, e não existia o Skip, um cliente meu não pode usar justamente por isso... Mas hj, já tem o Skip...

"Eles permitem" é parte importante do terraplanismo regulatório aqui. Todos os titulares de contas no sistema financeiro tem que seguir o regramento do Banco Central aplicável aos arranjos específicos.

E adicionar a Hash a URL, q é a forma menos segura dentre todas as opções kkkk

Então, mas se eles permitem usar em produção, e deixar validar só pelo IP de origem... Pq é oq eles colocam na doc deles, caso uso a hospedagem, utilize o Skip, e validar pelo IP de origem...

Sim, mas veja na regulamentação do Pix se tem lá qualquer citação a limitação da hospedagem. Não tem.

Troque para skip-mtls-check. Essa opção não desliga o mTLS, desliga a verificação que eles fazem.

Até pq, na própria doc eles falam da hospedagem compartilhada, pq eles sabem que não dá para configurar o mtls...

Mas eu deixei bem claro a minha pergunta... "Posso utilizar do skip-mtls em produção?"

Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.

Bom, vamos aguardar um posicionamento do próprio pessoal da EFI, e tirar a dúvida, se eles permitem ou não...

Você pode começar pelo manual de penalidades, que inclui diversas citações a questões que os clientes dos PSPs precisam obedecer sob pena do PSP ser multado:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=177