Termos mais procurados:
Se você quiser interagir com o pessoal do BACEN, eles respondem no GitHub, https://github.com/bacen/pix-api/issues . Mas se você pesquisar nos closed issues vai ver que o tema de mTLS é uma reclamação constante lá. E a posição do BACEN de que isso pode ser revisto na v3 (para o webhook, não para o sentido direto da API) também foi postada lá.
Aí tem que perguntar para o BACEN. Mas Itaú e Gerencianet, por exemplo, usam AWS para seus ambiente de Pix. E o API Gateway do AWS é justamente uma solução de mTLS que tem sido empregada por clientes GN.
Isso é realmente bom. Mas acho que a preocupação do BACEN foi de justamente o pessoal não utilizar os meios de segurança. Impondo o mTLS obrigatoriamente eles cumpririam os requisitos de segurança.
O mTLS aí está servindo para "garantir" para o meu back-end que quem está chamando e mandando as requisições para meu webhook é um certificado gerado pela CA que está naquele cert disponibilizado no site da Gerencianet. O que estou "propondo", é que não houvesse essa restrição na chamada do webhook. Logo, o payload da requisição poderia não ser de confiança. Por isso, a chamada ao webhook seria apenas como um ping, como um push notification, contendo uma chave para que só então o webhook fosse, ativamente, buscar pela informação. É uma arquitetura diferente da que está. É como o Pag Seguro faz, por exemplo. E é tão seguro quanto, só que menos dependente de configuração junto à infra. Enfim... é só um pensamento. Vou ver como resolver de outra forma.
O @anoni_mato tem um serviço de mTLS que oferece menos configuração, você pode verificar com ele.
Eu concordo plenamente, mas em relação ao mTLS funciona bem, porém, há alguns problemas, inclusive um relatado por mim sobre segurança.
O mTLS faz sentindo. Ainda mais quando se tem volume de transações, se a sua comunicação com o PSP é segura, não tanta há necessidade de checagem do evento (apesar de ser um item de segurança a mais). A questão toda é que um volume alto de transações iria gerar números altos de Webhook + números altos de checagem de Pix recebido, isso poderia bater no ratelimit do PSP.
Boa tarde <@!671848604625010719> aparentemente é necessário utilizar o GCP Compute em conjunto para configurar o mTLS. Em relação ao google eu encontrei esta documentação https://cloud.google.com/api-gateway/docs?hl=pt-br. Vou te mandar alguns detalhes no privado sobre o mTLS e como funciona.
Pessoal da GerenciaNet boa tarde tudo bem? Por favor estou configurando o webhook da minha aplicação, gostaria de usar o google cloud functions para isso. Porém pelo que li não tem como fazer o mtls lá, é isso mesmo? Teria que usar o App Compute só pra isso?
mas veja só.. se eu tiver um subdominio webhook.exemplo.com.br, e cadastrar a raiz dele, eu vou receber os requests em /pix. ese eu tiver que trancar a garagem inteira, não vou poder usar /paypal , /pagseguro, etc. se estiver exigindo o mTLS da GN na raiz
mas eu posso exigir o mTLS em /webhook e não em /webhook/pix
faz sentido que eu faça isso? não. assim como também não faz sentido testar a URL que não é efetiva.
O teste é de se todos os caminhos daquele path estão configurados para exigir o mTLS. Então no seu exemplo, seria que o cadeado está na garagem independente dos carros que estão dentro.
URL url = new URL ("https://api-pix.gerencianet.com.br/v2/webhook/" + CHAVE_PIX);
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setDoOutput(true);
conn.setRequestMethod("PUT");
conn.setRequestProperty("Content-Type", "application/json");
conn.setRequestProperty("Authorization", "Bearer =" + authToken);
conn.setRequestProperty("x-skip-mtls-checking", "true");
conn.setSSLSocketFactory(sslsocketfactory);
Bom dia, <@!802710486470230026>
Atualmente possuímos somente exemplos da configuração do servidor, que é necessária para a comunicação com mTLS.
https://dev.gerencianet.com.br/docs#section-exemplos-de-uma-configura-o-de-servidor-
Este vídeo dá uma boa idéia:
https://www.youtube.com/watch?v=6Es3i2eH5K4
Mas o mTLS normalmente é implementando no web-server, no PHP só ficam lógicas como checagem de chave Pix.
Precisa de algo que possa receber requisições mTLS, quer seja direto no seu sistema quer seja via um API Gateway como o da AWS.
Para o mTLS é necessário fazer modificações no Webserver e por isso as empresas de hospedagem compartilhada não oferece.
