Termos mais procurados:
Uma coisa estranha é que não tem o nome desse site especificamente no certificado:
https://www.ssllabs.com/ssltest/analyze.html?d=doss-api.azurewebsites.net
E a API Pix não permite uso de certificado wildcard. Mas isso já deveria ter dado erro na ativação do webhook.
Esta sim, fiz conexão dele com api gateway da aws, a configuração deu certo para trabalhar com a questão do certificado
Como consigo corrigir esse erro? pq a única coisa que fiz foi subir os certificados para minha aplicação
Mesmo na devolução, o webhook vai dar a nova situação daquele Pix.
O que você precisa validar é (1) certificado da Efí no mTLS (2) que a chave Pix é uma para a qual você emitiu cobrança naquele txid
Exatamente, era isso q estava pontuando, quem não vem no discorde, fica só na doc, acha q está tudo bem... Pq na doc, eles não falam "tem q validar o certificado de outra forma", eles falam q se usar o Skip, pode validar pelo IP e um hash na URL...
Então a doc é muitooo permissiva...
O servidor HTTP teria que te repassar o certificado de quem conectou, e aí na sua lógica você checa esse parâmetro.
Como que vai verificar o certificado, se o skip-mtls vai estar ativado? 🤔
Todos os concorrentes da Efí que analisamos que seguiam a API Pix padrão do BACEN tem webhook com mTLS... vários inclusive que requerem certificado ICP-Brasil no webhook, o que é tremendamente não prático. A Efí emite os certificados com CA dela o que é bem simples de usar.
Olá, @diogo.f.m.7 e @rubenskuhl. Bom dia!
Gostaríamos de esclarecer que, conforme as normas do Banco Central, as notificações enviadas do PSP recebedor (no caso, a Efí) para o usuário recebedor trafegam utilizando o canal mTLS. Como parte desse protocolo, sempre enviamos o certificado nos webhooks, seja no cadastro ou na notificação de Pix.
Entendemos que em alguns cenários, como hospedagem em servidores compartilhados, pode haver restrições em relação à inserção de certificados. Por isso, disponibilizamos a opção skip mTLS, que permite o cadastro do webhook sem a necessidade do hand shake mTLS por parte do integrador. É importante destacar que, ao optar por utilizar o atributo skip mTLS, o integrador fica responsável por validar o nosso certificado, conforme as orientações que fornecemos.
Ressaltamos que sempre seguimos as diretrizes do Banco Central para garantir a segurança e conformidade de nossos serviços. 🧡
Cartão teria possíveis normas das bandeiras, mas de fato não tem nada nelas obrigando uso de certificado. Boleto poderia ter norma FEBRABAN, mas de fato as normas da FEBRABAN não exigem certificado. Então aí é discrecionaridade da Efí... Pix não.
O certificado para gerar a transação, criar a cobrança, acho q deveria ter em todos os endpoints... Pix, cartão, boleto...
Mas o webhook, vamos ser sinceros, muda nada...
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.
Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.
Existe obrigatoriedade no PIX e certificado digital SSL em conjunto?
Afinal, existe a obrigatoriedade de utilização do PIX e certificado digital SSL? Essa é uma dúvida latente na mente de muitas pessoas, em especial, empresários. Entretanto, essa obrigatoriedade cabe, apenas, aos bancos e às instituições financeiras, selecionadas para operar na primeria fase do PIX, que devem zelar pela segurança nas transações de seus clientes.
Meteria:
https://blog.validcertificadora.com.br/pix-e-certificado-digital-ssl/#:~:text=Essa%20%C3%A9%20uma%20d%C3%BAvida%20latente,nas%20transa%C3%A7%C3%B5es%20de%20seus%20clientes.
Não tem opção de desabilitar o mTLS... tanto que eles sempre manda o certificado origem. A opção que tem é de desabilitar a checagem de se você implementou mTLS corretamente.
