se fosse problema "descer" a validação do mTLS pra dentro do location, então eu poderia argumentar que o ssl_verify_client deveria subir pra dentro do http {} no seu caso. e aí vc teria que ter um servidor nginx só pra isso 😄
Termos mais procurados:
Histórico de mensagens em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Implementação da SDK do Pix em Next.js ou React
- Consulta de Chave PIX na API de Envio
- Configuração de URLs para Recebimento de Status
- Cobrança em Período de Teste Grátis de 7 dias
- Acionamento de Webhooks em Pagamentos e Devoluções
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Integrações com o Laravel e SDK de PHP da EFI
- Teste de Status de Pagamento em Ambiente de Homologação
- Problemas com Token em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Atualização de informações no Retentiva de Cobrança
- Geração de Link de Pagamento e Reembolso
- Funcionamento do Webhook em Ambiente de Homologação
- Utilização de Endpoints e Payload no Pix
- Cancelamento de Boleto e Remoção do DDA
- Retenção de Pagamento no PIX em Marketplace
- Notificações de Pagamento de Boleto e Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Canal: pix
Rafael, se o seu hostname é webhook.example.com (e ele tem o ssl_verify_client on) enquanto o host example.com não tem nenhuma exigência, eu posso dizer que é "quase mTLS"? Acho que não. Vc vai argumentar "são hosts diferentes, com regras diferentes".
Então se eu tenho um único server {} para o hostname example.com, que aceita requests com/sem mTLS, e valida dentro de um location /webhook, por que o request para /webhook é um "quase mTLS" enquanto o "/" aceita requests sem mTLS? O meu argumento contrário é que "são locations diferentes, com regras diferentes" 😉
nenhum. ele tirou da cartola um artigo que diz que usar um return dentro de um if é justamente um dos 2 únicos casos em que o if() é 100% seguro 😄
e concordei com o <@!780500099788701726> em partes (só discordo da parte que ele diz que isso seria "quase mTLS" ou que seria inseguro)
sim. no fim das contas concordei com o Rubens. a orientação poderia ser padrão para server {} isolado, e a alternativa o server {} que tem outras finalidades, com validação dentro do location
Voltando ao assunto do mTLS em relação ao Nginx. <@!440035527127990273> Não seria legal na documentação da GN estar igual ao do Apache por exemplo? Na documentação do Apache (vide acima), há exemplos tanto para um vHost só para o Webhook como também para um Location só para o Webhook. Assim poderia ser implementado o ssl_verify_client on; e ssl_verify_client optional; a preferir pelo usuário.
<@!671762828046106646> No exemplo de vocês o qual eu citei o SSLVerifyDepth, só foi alterado por parte do exemplo e o outro ainda continua.