Histórico de mensagens sobre mtls em pix

boa tarde! conseguem me auxiliar na configuração do webhook pix num servidor compartilhado, onde nao consigo configurar o mTLS?

- Usar o mtls.pix.ae, que faz o handshake mTLS e te repassa a conexão.

- Usar o API Gateway da AWS, que tem suporte a mTLS, acessando o GCP como se fosse um on-premises seu.

Ela já testa o mTLS na ativação, se não tiver, já não ativa.

A GerenciaNet não envia o POST se não estiver configurado o mTLS? estava deixando essa parte para depois, pois estou testando ainda...

Não configurei, faltou a parte do mTLS, estou verificando aqui, tem poucos vídeos dessa parte no php...

Consegue. Se retornar um objeto Pix, foi pago. Se retornar vazio, não foi pago. E procure no canal por "mtls.pix.ae" que pode ajudar nos seus problemas com mTLS. Agora, ao menos TLS tem que ter, é descabido operar qualquer pagamento sem.

Ola bom dia, estou tentando integrar a API da Gerencianet no meu sistema em PHP, mas estou com com uma tremenda dificuldade com o Webhook, utilizo Nginx no meu servidor. Já configurei tudo relacionado aos certificados, fiz tudo conforme mostra na documentação da API, meu site esta com certificado da LetsEncrypt certinho, baixei o certificado para verificação mTLS da Gerencianet certinho também, apontei ele no config do Nginx, já tentei de tudo mesmo mas o retorno sempre da 403. O certificado aparentemente está sendo verificado pois quando eu troco o retorno para um 301 por exemplo ele informa na mensagem de retorno, só que quando eu uso rewrite não funciona e com proxy_pass também não. Preciso muito de uma forcinha, quem puder me ajudar agradeço muito.

Se você verificar só o IP e não o mTLS, você não estará de acordo com a regulamentação do Pix. Mas se o seu application server te passar o certificado apresentado na conexão TLS, você mesmo pode comparar com a CA da Gerencianet no seu código e não aceitar a notificação caso ela não seja assinada por essa CA.

Uma possibilidade é usar o mtls.pix.ae:

Muito obrigado @joao_efi , mas para cadastrar o webhook assim sem o mTLS, só verificando o IP, é necessário fazer alguma configuração extra?

Boa noite @jpc0rrea tudo certo? 🙂
Em hospedagem compartilhada não é possível registrar o webhook com o mTLS justamente pela hospedagem não fornecer os acessos necessários para a configuração do mTLS.
É possível registrar o webhook sem o uso do mTLS, entretanto, a Gerencianet vai continuar a enviar o certificado na requisição seu servidor irá ignorá-lo.
No entanto é aconselhável que você encontre uma forma de validar se é a Gerencianet quem está enviando a notificação, pois, sem o mTLS configurado não há o "hand-shake". Uma sugestão é verificar o IP de quem está notificando, pois a Gerencianet comunica os webhooks através do IP 34.193.116.226

Eu nem sabia que esse código existia... e de fato não é padrão, é só do Laravel:
419 Page Expired (Laravel Framework)
Used by the Laravel Framework when a CSRF Token is missing or expired.

A API Pix é uma API autenticada com mTLS, não deveria exigir token de CSRF (Cross Site Request Forgery)... então eu procuraria isso, onde desligar CSRF para uma pasta.

Você provavelmente vai precisar de algo no meio do caminho fazendo mTLS. Pode ser o mtls.pix.ae, pode ser o API Gateway da AWS...

Nao sei se está relacionado ao timeout da requisiçao que o GerenciaNet faz em meu webhook para verificar o MTLS... talvez

Lembrando que você precisa fazer algo para reconhecer que quem você está usando para checar o mTLS é quem te encaminhou a requisição.

Já do AWS, tem um artigo específico sobre mTLS no API Gateway:
https://aws.amazon.com/blogs/compute/introducing-mutual-tls-authentication-for-amazon-api-gateway/

Do mtls.pix.ae é o que postei acima, que reproduz o que o mantenedor (@anoni_mato) divulga.