Histórico de mensagens sobre url em pix

Se eu mudar o webhook da tua conta, apenas a nova url vai receber notificação.. então não serve para nada...

Agora se eu pegar sua url e enviar uma notificação de RECEBIDO, você deve consultar...

Sem um certificado, qualquer um poderia fazer um for com getTxID() e enviar notificação..

Com o certificado, qualquer um que já tenha o certificado...

você diz consultar sua url de retorno, não alterar ela?

Claro que não, qualquer um com minha url, meu certificado pode mudar o retorno do webhook e mandar status de "RECEBIDA", isso é o de menos, kkkkk

se eu alterar a url de retorno, meu sistema não vai aprovar a transação..

Tenho, pois existe a vulnerabilidade de registro da url do retorno de webhook !

Então no cenário atual, posso receber notificações de qualquer lugar via url cadastrada , não acreditar nelas e ainda ter que efetuar uma consulta para ter certeza que o notificação esta insegura , correto ?

[#duvida] Tendo em vista que todos os certificados emitidos pela GN de validação do mTLS são iguais para todos os utilizadores , isso quer dizer que um outro utilizador pode de má fé tentar registrar uma outra rota de destino do webhook na GN e assim pode também enviar status de "RECEBIDA" para o utilizador atacado. Antes era um meio mTLS, agora serve para que mesmo este mTLS ? Se todas as chaves dadas pela GN são iguais para todos. Basta saber a chave .pem e ter o certificado .pem do atacado. Neste cenário , preciso esconder o máximo o nome da minha url de recebimento e o arquivo .pem gerado do meu .p12 . Correto ? Alguém desenha para que serve o mTLS ?

mas a pergunta é, não tem uma URL que eu informo um ID ou algo do tipo e a API da GN me retorne o BASE64 do QRCode?

Na DOC não tem o v2 na URL de cobrança, acho que é este o erro.....🤦‍♂️ 🤦‍♂️ 🤦‍♂️ 🤦‍♂️ 🤦‍♂️

Como você está no ambiente de homologação, certifique-se de que esteja usando a url "https://api-pix-h.gerencianet.com.br/v2/cob/INFORME_O_TXID_AQUI". Talvez esteja faltando o "/v2" ou talvez você tenha esquecido de acrescentar o txid no final da url. E o método para criar cobrança é PUT. Talvez esteja usando POST

Conforme a documentação https://dev.gerencianet.com.br/docs/api-pix#section-criar-cobran-a- qual seria a URL correta para evitar o 404?

gera ai o codigo php com curl e manda para agente ver no postman.

Conferiu a url se é de produção ou de homologação com os devidos tokens ?

me passa a URL pra eu ver o que pode ser

Exemplo para testar a sua url do webook em modo desenvolvimento com php .

#solução para testes do webhook em modo desenvolvimento. Principalmente para quem não fez o mTLS ainda para usar em produção, é só criar um POST , no postman na sua url de recebimento do webhook no servidor e inserir as informações do json que é enviado no Body em raw no postman , este é um exemplo de envio que a GN faz em json abaixo que usei no raw

Então como o seu é de produção, verifique se a url utilizada na rota de consumo é https://api-pix.gerencianet.com.br e o Host inserido para adicionar o certificado é
api-pix.gerencianet.com.br

Isso mesmo, verifica a url utilizada, como disse o Francisco.

as URLs de location (payload JSON) hospedados no subdomínio qrcodes-pix-h (homologação) só estão abrindo de IPs brasileiros

Tem que adicionar "https://" na URL que vem do location