boa noite. se eu configurar o skip-mTLS como true, vou receber as notificações mesmo assim?
Termos mais procurados:
Histórico de mensagens sobre Skip-mTLS em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Consulta de Chave PIX na API de Envio
- Configuração de URLs para Recebimento de Status
- Acionamento de Webhooks em Pagamentos e Devoluções
- Implementação da SDK do Pix em Next.js ou React
- Cobrança em Período de Teste Grátis de 7 dias
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Repetição do Processo de Criação com txid
- Implementação do Módulo Gerencianet no Perfex CRM
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Integrações com o Laravel e SDK de PHP da EFI
- Problemas com Token em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Funcionamento do Webhook em Ambiente de Homologação
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Integração de Pix no Bubble (Plataforma No-Code)
- Utilização de Endpoints e Payload no Pix
- Notificações de Pagamento de Boleto e Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Texto: Skip-mTLS
Canal: pix
Precisava verificar se meu webhook está operando normalmente com o skip-mtls, existe alguma outra possibilidade?
se eu for usar o skip-mtls, o endpoint de callback é uma função normal apenas validando o ip de vcs e o hash correto?
E uma terceira dúvida tb:
3 - O webhook de Pix utiliza mTLS, que pode ser "ignorado" (com Skip-mTLS). Caso seja necessário ignorar, além das opções de validação da documentação, se eu simplesmente considerar somente o txid vindo na requisição, realizar uma consulta à cobrança que eu gerei com esse txid e considerar os valores vindos dessa consulta, já não é suficiente para garantir que estarei processando dados seguros?
Bom dia @grupothx !
Em hospedagem compartilhada não é possível configurar o mTLS por não fornecerem as permissões necessárias.
Não sendo possível configurar o mTLS, você pode configurar uma URL de webhook ignorando esta validação.
Para isto, basta informar o parâmetro x-skip-mtls-checking igual a true no Header da requisição PUT /v2/webhook/:chave que será registrado seu webhook URL sem a validação do mTLS.
Desta forma, caso opte por deixar o x-skip-mtls-checking como true, a Efí vai continuar a enviar o certificado na requisição, mas como mencionado, seu servidor irá ignorá-lo.
No entanto é aconselhável que você encontre uma forma de validar se é a Efí quem está enviando a notificação, pois, sem o mTLS configurado não há o "hand-shake". Uma sugestão é verificar o IP de quem está notificando, pois a Efí comunica os webhook através do IP 34.193.116.226
Quanto a validação do Mutual TLS, existe alguma documentação a respeito? Atualmente estou usando o skip-mtls
você pode testar se é problema de certificado cadastrando um webhook com o parametro x-skip-mtls-checking: true no header da requisição
Na requisição de registro do webhook você pode adicionar no header o parâmetro x-skip-mtls-checking: true dessa forma não será feita a validação do mTLS para o webhook informado.
É importante ressaltar a necessidade de confirmar que é a Gerencianet enviando a requisição, prevenindo que qualquer outra requisição contendo uma confirmação de pagamento falsa chegue para seu sistema.
Nessa situação, deve ser validado pelo em seu servidor.
Lembrando também que a Gerencianet continua a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou.
Boa tarde @softvix tudo bem? 🙂
Em servidor compartilhado não é possível configurar o mTLS pois as hospedagem não fornece o acesso como root para modificar as configurações.
Na requisição de registro do webhook você pode adicionar no header o parâmetro x-skip-mtls-checking: true dessa forma não será feita a validação do mTLS para o webhook informado.
É importante ressaltar a necessidade de confirmar que é a Gerencianet enviando a requisição, previnindo que qualquer outra requisição contendo uma confirmação de pagamento falsa chegue para seu sistema.
Nessa situação, deve ser validado pelo em seu servidor.
Lembrando também que a Gerencianet continua a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou.
bom dia! cadastrei um webhook com o header x-skip-mtls-checking: true, recebi o evento de teste_webhook e ao consultar o webhook da chave em questao vejo que a url está lá. ao fazer um pix pra essa chave, nao recebo a notificação na url cadastrada. alguém sabe o que pode ser?
A quem interessar, resolvi o problema utilizando a configuração através do método do SDK PixConfigWebhook
passando o cabeçalho: var headers = "{\"x-skip-mtls-checking\": \"true\", \"Content-Type\": \"application/json\"}";
Testado e validado em produção 👌
"x-skip-mtls-checking: false" você provavelmente queria fazer
"x-skip-mtls-checking: true"
curl_setopt_array($curl, array(
CURLOPT_URL => "https://api-pix.gerencianet.com.br/v2/webhook/" . $chave, // Rota base, homologaço ou produço
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => "",
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => "PUT",
CURLOPT_POSTFIELDS => $json,
CURLOPT_SSLCERT => $config["certificado"], // Caminho do certificado
CURLOPT_SSLCERTPASSWD => "",
CURLOPT_HTTPHEADER => array(
"Content-Type: application/json",
"authorization: Bearer " . $access_token,
"x-skip-mtls-checking: false"
),
));
$response = curl_exec($curl);
O x-skip-mtls-checking apenas transfere para você a necessidade de fazer na aplicação a checagem de mTLS, o requisito é parte do regulamento do Pix.
Boa tarde! Minha dúvida é o seguinte: implementei a integração com a api pix de vcs no sistema do meu cliente, só que tive muita dificuldade para fazer a autenticação mtls para os webhooks, foi quando um amigo me ajudou colocando no header da requisição o "x-skip-mtls-checking: true". Sei que isso diz para não fazer a autenticação mtls no webhook gerando assim uma insegurança, agora com a mudança no certificado da gerencianet eu terei que mexer nisso?
Boa noite <@!764685636384456755> tudo bem? 🙂
Uma vez que o mTLS estiver configurado, ele previne que qualquer outra requisição que não seja da Gerencianet envie uma requisição contendo uma confirmação de pagamento falsa para seu sistema.
O parâmetro x-skip-mtls-checking segue as regras:
Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
Entretanto, em casos como o seu, onde o integrador opta por não realizar a checagem do mTLS, não muda a necessidade de confirmar que é a GN enviando a requisição. Onde, nessa situação, deve ser implementado pelo em seu servidor.Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
É importante frisar que a Gerencianet continua a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou. O POST entre Gerencianet continua enviando o certificado.
Oi, gente, tudo bem?
Uma dúvida: meu webhook foi configurado com parâmetro _false_ em _x-skip-mtls-checking_, nos headers.
O que eu devo fazer com a atualização do mTLS?
Sou cliente Cloud da Hostinger e não tenho acesso ao servidor para fazer a configuração dos certificados.
Valeu. 🙂