Histórico de mensagens sobre Skip-mTLS em pix

O que indica que o x-skip-mtls-checking=true não está sendo passado no header...

Bom dia, @conexao_cefet.
Isso mesmo, no caso seria x-skip-mtls-checking=true. E mais especificamente, seu servido deve responder com 200.

Estou em fase de desenvolvimento, e tentando sem a validação mTLS. O parâmetro x-skip-mtls-checking deve ficar true ou false? a url passada precisa retornar algo no exato momento da configuração do webhook, isto é a Efí já realiza alguma consulta ao meu webhook?

Você pode, @brun06830, mas é altamente recomendado que você faça algumas validações próprias, como verificar se quem está comunicando com você é a Efí pela verificação de IP, e também pela utilização de chaves conhecidas por você. Em nossa documentação você encontra mais detalhes sobre o skip-mTLS: https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls

Olá @rodrigoataides ! Tudo bem? Em seu domínio que representa o seu servidor, deverá ser feita uma configuração para exigir a chave pública (https://pix.sejaefi.com.br/webhooks/chain-prod.crt) para que ocorra a autenticação mútua. Disponibilizamos alguns exemplos de configuração de servidor na nossa documentação: https://dev.gerencianet.com.br/docs/api-pix-endpoints#exemplos-de-configura%C3%A7%C3%B5es-de-servidor . Você chegou a realizar essa configuração?
Caso opte por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, você deverá implementar medidas para garantir que quem está enviando as notificações ao seu servidor é de fato a Efí. Disponibilizamos algumas sugestões aqui: https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls

Boa noite pessoal, tudo bem?

Por limitações do servidor que estou usando vou ter que usar o header x-skip-mtls-checking. Criei o webhook com um hash ao fim da URL como consta na documentação. Já fiz a verificação se o ip que envia o callback é o ip do Efí (34.193.116.226). Como posso agora fazer a verificação se o hash corresponde com o que inseri no webhook?

Não, achei que x-skip-mtls-checking = true significava que a config do apache fosse desnecessaria.

Com o postman e x-skip-mtls-checking = true retorna

OI, @victorzac. Neste caso, você pode usar o parâmetro x-skip-mtls-checking = true no header da requisição de registro do webhook. Segue a documentação:
https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls
Vale ressaltar que, caso opte por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, você deverá implementar medidas para garantir que quem está enviando os webhooks ao seu servidor é de fato a Efí.

Obrigado pelos links, na documentação continua os antigos, no entanto ao alterar o crt continuo com o mesmo erro ao validar o certificado: FAILED:unable to verify the first certificate 😕
Vou tentar usar o skip-mTLS

Entendi, se eu ativar a função "x-skip-mtls-checking", Funcionará normalmente? ou pode ter algum tipo de problema?

Exemplo:

curl --cert-type P12 --cert seu_certificado.p12 --location --request PUT 'https://api-pix.gerencianet.com.br/v2/webhook/sua_chave_pix' \
--header 'x-skip-mtls-checking: true' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer seu_token' \
--data '{
"webhookUrl": "https://seu_endereco.com.br/webhook"
}'

--header 'x-skip-mtls-checking: true'
isso aqui ajuda resolver o problema de quem nao quer usar os certificados
manda no header da chamada

Será que a opção skip-mTLS pode ajudar? Eu verificaria a autenticidade da requisição dentro do container ao invés de configurar o cluster pra fazer mTLS. Será que funcionaria isso?

Bom dia! Estou integrando a API PIX da gerencianet com o sistema que trabalho, no entanto estou enfrentando uma dificuldade em configurar o webhook.
No momento o sistema em que trabalho esta impossibilitado de validar o certificado de vcs (mTLS) e por isso estou usando a opcao "x-skip-mtls-checking" como sugerido na DOC e configurando com um hash e validando pelo IP como indicado na DOC.
Ao configurar o webhook a API de vcs faz um teste na minha e o teste ocorre como esperado, IP e hash td validado.
No entanto ao realizar um pix a API de vcs esta enviando o hash incompleto e por o hask estar incompleto e nao bater com o esperado minha API esta negando a conexao. Nao to entendendo ja que inicialmente ao configurar o webhook a API de vcs envia o hash completo como informado mas na hora de notificar o pagamento esta enviando o hash incompleto
OBS: estou no ambiente de testes e ao criar a cobrança a API de vcs ja enviar a confirmacao do pagamento

Sim, só lembrar de adicionar x-skip-mtls-checking: true nos headers ao cadastrar a URL

@joao_efi se eu quiser usar o "Skip-mTLS" (utilizando a validação por ip e uma hash ao final da URL) basta eu ignorar o certificado ? os dados do pix pago entregues pelo POST poderá ser lido sem problemas?

Na verdade não é a Efí que precisa validar mTLS, é você. o skip-mTLS só desliga um teste que a Efí de se você está validando... mas você tem que validar de qualquer forma para estar de acordo com as regras do Banco Central.

Boa tarde @alexandrecosta1735 tudo certo?
O skip-mtls seguem as seguintes regras:

Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;

com o skip-mTLS setado como true, vai exigir o CA da Gerencianet?