Mas eu deixei bem claro a minha pergunta... "Posso utilizar do skip-mtls em produção?"
Termos mais procurados:
Histórico de mensagens em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Implementação da SDK do Pix em Next.js ou React
- Consulta de Chave PIX na API de Envio
- Configuração de URLs para Recebimento de Status
- Cobrança em Período de Teste Grátis de 7 dias
- Acionamento de Webhooks em Pagamentos e Devoluções
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Integrações com o Laravel e SDK de PHP da EFI
- Teste de Status de Pagamento em Ambiente de Homologação
- Problemas com Token em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Atualização de informações no Retentiva de Cobrança
- Geração de Link de Pagamento e Reembolso
- Funcionamento do Webhook em Ambiente de Homologação
- Cancelamento de Boleto e Remoção do DDA
- Utilização de Endpoints e Payload no Pix
- Retenção de Pagamento no PIX em Marketplace
- Notificações de Pagamento de Boleto e Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Canal: pix
Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.
Bom, vamos aguardar um posicionamento do próprio pessoal da EFI, e tirar a dúvida, se eles permitem ou não...
Você pode começar pelo manual de penalidades, que inclui diversas citações a questões que os clientes dos PSPs precisam obedecer sob pena do PSP ser multado:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=177
Existe obrigatoriedade no PIX e certificado digital SSL em conjunto?
Afinal, existe a obrigatoriedade de utilização do PIX e certificado digital SSL? Essa é uma dúvida latente na mente de muitas pessoas, em especial, empresários. Entretanto, essa obrigatoriedade cabe, apenas, aos bancos e às instituições financeiras, selecionadas para operar na primeria fase do PIX, que devem zelar pela segurança nas transações de seus clientes.
Meteria:
https://blog.validcertificadora.com.br/pix-e-certificado-digital-ssl/#:~:text=Essa%20%C3%A9%20uma%20d%C3%BAvida%20latente,nas%20transa%C3%A7%C3%B5es%20de%20seus%20clientes.
@igor_efi @elaine2983, podem dar uma orientação sobre esse assunto?? Em produção, usando hospedagem compartilhada, posso usar o skip-mtls, e validar o webhook pelo IP de origem??
Concordo, caso for obrigatório ele remover a opção no ambiente de produção, deixando apenas ao ambiente de homologação.
Vamos esperar alguém do suporte deles informar se pode ou não, desabilitar a checagem em produção...
Agr, se eles dão essa opção, não podem punir se for usada...
2 desses 3 tem API fora do padrão que eu já denunciei para o Banco Central... tem um que eu não sabia dessa não conformidade, vou ver se confirmo e adiciono na denúncia.
Não tem opção de desabilitar o mTLS... tanto que eles sempre manda o certificado origem. A opção que tem é de desabilitar a checagem de se você implementou mTLS corretamente.