Bem pontuado pelo Rubens! Com o mTLS que é inclusive exigido pelo Banco Central as informações transitadas são seguras
Termos mais procurados:
Histórico de mensagens sobre mtls em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Endpoint para Recuperar Saldo
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Problemas com Token em Ambiente de Homologação
- Utilização de Endpoints e Payload no Pix
- Implementação da SDK do Pix em Next.js ou React
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Cobrança em Período de Teste Grátis de 7 dias
- Recebimento de Pagamentos via QR Code e Arduino
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Cancelamento de Boleto e Remoção do DDA
- Teste de Status de Pagamento em Ambiente de Homologação
- Autenticação com Certificado em NextJS
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Retenção de Pagamento no PIX em Marketplace
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Geração de payment_token pelo Postman e teste em homologação
- Especificação da URL do Webhook no Exemplo Pix
- Integração da API do Pix em Sistema Próprio
- Funcionamento do Webhook em Ambiente de Homologação
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Canal: pix
Como o callback tem mTLS, dá para confiar na integridade e autenticidade. Agora, se perder o callback, aí vale fazer GET .
Mais um dia de estudos, testando criações de tokens, cobranças , com a ajuda da GN e do pessoal aqui "Fizemos Progresso". Amanhã continua a mini-série "A SAGA DO PIX" capítulo teste de mTLS 🙂 Otimo dia a todos.
mas esse subdomínio do mTLS deixar de funcionar conforme o planejado, te complica. vc gera cobranças mas não recebe os webhooks.
ok, tudo bem, mais se eles fizerem o mTLS para apenas um sub-dominio nosso, não tem por que influenciar nos outros que estão rodando.
O mTLS é simples de configurar, aqui fizemos com apache, você cria um subdomínio pix.sualoja.com.br e faz a configuração do mTLS seguindo a documentação da gerencianet, é necessária a criação desse subdomínio pra não impedir o acesso ao dominio principal pois só quem possui a outra "parte do certificado" terá acesso que é a gerencianet, isso torna o ambiente bem mais seguro
se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso
Não com o mTLS, onde o m é de mútuo. Você tem que reconhecer a GN e a GN reconhecer você antes de qualquer transferência acontecer.
Se a pessoa tiver a sua url e tambem tiver todos os dados da cobrança sem você ter o mTLS, ela pode enviar um POST para a url e se seu sistema validar os dados enviados, vai interpretar que foi pago. Ja que em uma cobrança todos os dados são expostos e são abertos. Por isso a importancia do mTLS com o certificado da GN.
Pessoal, a respeito do webhook. Há como outra pessoa fazer uma requisição na minha url de retorno (simulando a gerencianet) e confirmando um pagamento fake ou o mTLS já protege contra isso ?
O cacique Apache ainda não fez a dança da chuva com a GN aqui na tribo SERVER. Eles ainda não apertaram as mãos com mTLS. Esta é o grande encontro esperado , por causa da pandemia, eles não podem hoje apertar as mãos sem os certificados.
o hostname que vai receber os requests (para as URLs registradas como webhook) precisa fechar um mTLS com o certificado fornecido pela GN, então não dá pra colocar atrás do Cloudflare (precisa deixar a "nuvem cinza" na página de DNS para o IP ficar exposto). mas os IPs podem ser filtrados diretamente no seu servidor, obviamente.
Tanto não precisa ser EV no mTLS que pode ser uma CA própria da GN como ela está fazendo... mas aí a GN atribuiu confiança à sua CA através dos processos de emissão.
emitir um certificado é trivial, Rubens 😂 .. cadeia de certificação só é necessária quando vc não conhece previamente o seu interlocutor e precisa validar que "ele é quem diz ser". para criptografar a comunicação entre 2 pontas que sabem quem é quem e já se confiam mutuamente, o mTLS pode ser com qualquer certificado
na verdade acabei de ler o manual, e aparentemente apenas o certificado do https://qrcodes-pix.gerencianet.com.br (onde ficam os payloads dos QR dinâmicos) deve ser emitido por entidade amplamente reconhecida (e deve ser "EV", inclusive). já os certificados de mTLS pra consumo da API e pra envio dos callbacks não tem exigência de ser emitido por CA reconhecida.
Com certeza, vai facilitar para os integradores. A determinação do banco central precisa ser seguida de qualquer forma, com o padrão mTLS, mas outras formas sugeridas pela própria comunidade e que atendam aos requisitos podem ser implementadas.