Vc pode configurar o api gateway da aws pra receber o request e direcionar pra sua aplicação, ele cuida do mtls
Termos mais procurados:
Histórico de mensagens sobre mtls em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Endpoint para Recuperar Saldo
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Problemas com Token em Ambiente de Homologação
- Utilização de Endpoints e Payload no Pix
- Implementação da SDK do Pix em Next.js ou React
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Recebimento de Pagamentos via QR Code e Arduino
- Cobrança em Período de Teste Grátis de 7 dias
- Cancelamento de Boleto e Remoção do DDA
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Autenticação com Certificado em NextJS
- Alternativas para Detalhar QR Code Pix
- Retenção de Pagamento no PIX em Marketplace
- Geração de payment_token pelo Postman e teste em homologação
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Integração da API do Pix em Sistema Próprio
- Especificação da URL do Webhook no Exemplo Pix
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Canal: pix
Boa tarde <@!400114559299616769>, como muito bem informado pelo Renato nós continuamos enviando o certificado, o que o x-skip-mtls-checking faz é dar a decisão ao integrador se ele vai ou não verificar o CA na requisição. Fizemos isso para auxiliar clientes que utilizam servidores compartilhados, mas a recomendação é sempre configurar o mTLS.
aí você pode configurar seu nginx pra validar (e re-cadastrar a URL sem o x-skip-mtls-checking) ou fazer uma consulta à API pra verificar se o Pix foi mesmo recebido; o que vc achar melhor (a primeira opção exige menos recursos do seu servidor e da GN, além de ser marginalmente mais segura)
se você passou o x-skip-mtls-checking na hora de cadastrar a URL de webhook, a GN não certifica que você está validando o client certificate usado nos callbacks. nesse caso, você está sob risco de alguém enviar notificações falsas pra vc, o que é um problema caso você não verifique com uma nova consulta à API se o pix foi realmente recebido
Pessoal, fiquei um tempo afastado das discussões acerca do Pix aqui no servidor, mas alguém pode me confirmar se a única mudança que teve com relação ao webhook foi a adição do x-skip-mtls-checking ?
const config = {
method: 'put',
url: https://api-pix.gerencianet.com.br/v2/webhook/${pixkey},
headers: {
Authorization: Bearer ${token},
'Content-Type': 'application/json',
'x-skip-mtls-checking': false
},
httpsAgent: this.#agentPix,
body: {
webhookUrl: 'https://meucallback/api/pagamento/pix/callbackPix'
}
};
A checagem de mTLS só foi suprimida para permitir que ela seja feita de outras formas, não para não ser feita. Você pode estar colocando a GN numa fria numa dessas, e ela vai ter que checar mesmo que por auditoria amostral se os clientes estão mesmo checando.
Obrigado pela resposta rápida, Rubens!
Só de suprimir o teste do mTLS já me ajudou um bocado, espero que continue assim pois não temos a menor intenção de implementar esta medida de segurança que pouco nos afeta.
E quanto aos dados serem suprimidos. Poxa vida, que passo para trás, agora será bem fácil darem golpe com o PIX roubado de terceiros e a gente nem sequer saber 😦
Na verdade o parâmetro ignora o teste de mTLS... o mTLS ainda é requerido. Já a informação de pagador foi sim suprimida pela Gerencianet em alinhamento com a versão nova da API do BACEN, e você pode se juntar à legião que sente falta dela. Instituição pagadora você tem pelo E2EID, que começa com o ISPB do PSP pagador. CPF do pagador você tem como checar se quem pagou é um CPF que você imaginava, mas para isso você precisa passar o CPF que você acha que pagou como parâmetro.
Boa noite, pessoal. Estou terminando a integração com a API Pix e achei tudo muito prático, apanhei um pouco para o webhook com mTLS mas ainda bem que vi aqui sobre o parametro para ignorar o mTLS, bem mais fácil hehe 🙂 Poderiam adicionar o parametro na documentação para mais pessoas saberem sobre o parametro.
galera eu to confuso com um ponto da documentação,
> Callbacks
> Esse serviço está protegido por uma camada de autenticação mTLS. Os callbacks são enviados pela Gerencianet via POST {$request.body#/webhookUrl}/pix quando há uma alteração no status do PIX.
>
<@!671762828046106646> <@!671763456487325717>
https://documenter.getpostman.com/view/13574984/TVzVgvBA#b48f8b28-7a53-4de4-8b6c-49b5568cb55e
Está com o header["x-mtls-bypass"] quando na verdade deveria ser header["x-skip-mtls-checking"].
Assim como você utiliza as credenciais para autenticação das transações em ambiente homologação para testes ou produção, você pode utilizar este certificado mTLS com o mesmo intuito.
É um certificado único para a aplicação, sendo um para cada ambiente. Segue link dos certificados que contém as chaves públicas da Gerencianet que você utilizará para o mTLS:
Desenvolvimento: https://pix.gerencianet.com.br/webhooks/chain-pix-sandbox.crt
Produção: https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt
Então neste caso o mTLS ainda não está configurado e devido a isso não teve o cadastro da sua chave com o webhook
Bom dia <@!664563985885954079>, é necessário sim que você configure em seu servidor para que ocorra o mTLS. Neste caso você precisa inserir o nosso CA em seu VirtualHost e com isso o hand-shake vai ser feito com o CA enviado pela Gerencianet quando é consumido a rota PUT /v2/webhook/:chave.