se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso
Termos mais procurados:
Histórico de mensagens sobre certificado em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Consulta de Chave PIX na API de Envio
- Acionamento de Webhooks em Pagamentos e Devoluções
- Configuração de URLs para Recebimento de Status
- Implementação da SDK do Pix em Next.js ou React
- Cobrança em Período de Teste Grátis de 7 dias
- Especificação da URL do Webhook no Exemplo Pix
- Repetição do Processo de Criação com txid
- Recebimento de Pagamentos via QR Code e Arduino
- Implementação do Módulo Gerencianet no Perfex CRM
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Problemas com Token em Ambiente de Homologação
- Funcionamento do Webhook em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Integração de Pix no Bubble (Plataforma No-Code)
- Notificações de Pagamento de Boleto e Pix
- Utilização de Endpoints e Payload no Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Texto: certificado
Canal: pix
Acredito que não, pois só consegue acessar a url quem tiver o certificado, logo é a gerencianet
Se a pessoa tiver a sua url e tambem tiver todos os dados da cobrança sem você ter o mTLS, ela pode enviar um POST para a url e se seu sistema validar os dados enviados, vai interpretar que foi pago. Ja que em uma cobrança todos os dados são expostos e são abertos. Por isso a importancia do mTLS com o certificado da GN.
O cacique Apache ainda não fez a dança da chuva com a GN aqui na tribo SERVER. Eles ainda não apertaram as mãos com mTLS. Esta é o grande encontro esperado , por causa da pandemia, eles não podem hoje apertar as mãos sem os certificados.
a menos que vc use um plano pago da Cloudflare que permita você subir um certificado no painel deles e configurar o API Shield para o hostname dos webhooks com o certificado que você mesmo subiu
o hostname que vai receber os requests (para as URLs registradas como webhook) precisa fechar um mTLS com o certificado fornecido pela GN, então não dá pra colocar atrás do Cloudflare (precisa deixar a "nuvem cinza" na página de DNS para o IP ficar exposto). mas os IPs podem ser filtrados diretamente no seu servidor, obviamente.
Bom dia <@!781944293739986984>! Os únicos dois que funcionaram sem problemas no ambiente windows foi o Rest Framework da Embarcadero e o NetHttpClient nativo o qual o mesmo framework foi baseado.
Em ambos os casos, é necessário implementar o evento OnNeedClientCertificate
(unit System.Net.Url.Client -> TNeedClientCertificateEvent -> procedure(const Sender: TObject; const ARequest: TURLRequest; const ACertificateList: TCertificateList; var AnIndex: Integer) of object)
do componente usado. Este evento é acionado quando ao comunicação solicita o certificado do cliente, então deve-se implementar uma lógica que indique qual certificado deve ser utilizado com base nos certificados carregados do storage do windows, o qual são fornecedos como um parãmetro do evento (const ACertificateList: TCertificateList)
Então por via de regra, o certificado deve estar no storage, ou seja, instalado na maquina em questão.
Basta informar na variável Aindex o indice do certificado na lista.
O windows e o componente cuidarão do resto.
Quanto a versões, o Framework só da acesso a este método no Delphi 10.2.2
Sim, mas como não sei colocar o certificado estou fazendo via PHP, no Delphi eu apenas consumo
bom dia pessoal, alguem tem alguma ideia de como eu adiciono o certificado no meu codigo?
Agradeço ao pessoal da GerenciaNet, especialmente a <@!671763456487325717> pela ajuda :)
Já foi possível descompactar o certificado com a nova emissão.
"Os certificados digitais dos clientes da API poderão ser emitidos pelo próprio PSP ou
por ACs externas, conforme definido por cada PSP. Não deverão ser aceitos
certificados auto-assinados pelo cliente."
emitir um certificado é trivial, Rubens 😂 .. cadeia de certificação só é necessária quando vc não conhece previamente o seu interlocutor e precisa validar que "ele é quem diz ser". para criptografar a comunicação entre 2 pontas que sabem quem é quem e já se confiam mutuamente, o mTLS pode ser com qualquer certificado
na verdade acabei de ler o manual, e aparentemente apenas o certificado do https://qrcodes-pix.gerencianet.com.br (onde ficam os payloads dos QR dinâmicos) deve ser emitido por entidade amplamente reconhecida (e deve ser "EV", inclusive). já os certificados de mTLS pra consumo da API e pra envio dos callbacks não tem exigência de ser emitido por CA reconhecida.
como a comunicação webhook (GN -> cliente) é privada, não vejo sentido na exigência de validar a entidade certificadora. acho que o BACEN viajou nessa 😦
Mesmo que o certificado possa ser enviado, a autoridade certificadora que o emitiu precisa ser validada pela GN. Senão seria aceito certificado auto-assinado ou equivalente, violando o manual de segurança.
isso talvez até permita um nível menor de interação humana (pode ter uma configuração no painel da conta pra enviar o certificado)