Histórico de mensagens em pix

mas vc tá usando um server {} específico pra webhook, meu caro. nem todo mundo seguirá isso.

é quase mTLS

<@!440035527127990273> concordo.. mas ai não é bem mTLS

configuramos desta forma http://gerencianet.webhook.openpix.com.br/

se for optional, você pode ter um location / {} com um sistema qualquer... e um location ~ /webhook {} com a exigência do mTLS (que retorna 400 na falta dele)

não consigo visumbrar como poderíamos compartilhar para outras coisas usando certificado mTLS

bom saber. pois configurei um servidor pra um cliente ontem e usei justamente o 400 em vez do 403. é mais correto semanticamente (e o padrão para um request negado por falta de certificado)

Oi <@!440035527127990273> o server é dedicado mesmo

se você usa o mesmo server{} do nginx para outros fins que não o webhook, se deixar on o server não vai mais funcionar para os seus outros fins...

400 tmb rola

Cria uma cobrança, paga e ver o retorno 🙂

Funciona!

se funcionar vamos manter este setup

parece que funciona

única diferença é que o erro é 400 e não 403

Caros implantamos com ssl_verify_client: on

Ainda tem o envio de código via SMS e autenticação de dois fatores com o Google. Que podemos usar.

Um exemplo da nossa API (que é EPP e não HTTP, mas também sobre TLS): exigimos certificado cliente assinado pela nossa raiz, exigimos usuário/senha, exigimos IP que bata com os IPs do cadastro para esse consumidor da API. E cada IP só pode ser de um consumidor, então é também fator de autenticação.

Sim, IP é só fator adicional.

Pessoal testei aqui..