Histórico de mensagens sobre mtls em pix

Bom dia, @helderandre! Como vai?
Como o @alexandrer85 mencionou, você pode usar o atributo x-skip-mtls-checking = true. Assim, a API do Efí vai continuar enviando o certificado mTLS na requisição, mas seu servidor irá ignorá-lo.

Nesse caso, é importante encontrar uma forma de garantir que é o Efí quem está enviando a notificação. Sem o mTLS configurado, não há o "handshake". Uma sugestão é verificar o IP de origem da notificação, já que o Efí utiliza o IP 34.193.116.226 para comunicação dos webhooks. Além disso, é interessante cadastrar a URL com uma hash conhecida apenas pelo seu sistema.

coloque x-skip-mtls-checking = true

isso, com o skip-mTLS você nao precisa do CA

Isso, neste caso você pode manter o x-skip-mtls-checking = true no Header da requisição 🙂

eu uso Skip-mTLS dai?

Não parece que o n8n tenha suporte a restrição por mTLS, especialmente mTLS com CA privada como a da Efí...

O hash, ou verificação de IP, são recursos interessantes, mas não são mTLS.

E a Efí não diz que não precisa de mTLS... ela apenas desliga a checagem de se você está checando. Você está dizendo para ela que está checando, de algum outro jeito.

E continua precisando de um certificado, mas só o do seu lado, não o para confirmar que seja a Efí acionando.

E isso só deveria ser usado para testes... mTLS é requisito do Banco Central. Não é opcional.

o skip-mtls-checking só vai deixar de confirmar se você está testando mTLS. Mas isso não é localhost...

é só colocar isto no cabeçalho da requisição :
skip-mtls: 'true'

e não precisa mais do certificado mas precisa informar um hash na url

o cert de mtls ou ou da request?