Histórico de mensagens sobre Skip-mTLS

Passando o x-skip-mtls-check no header?

Para testar usa o x-skip-mtls-check... para produção é melhor achar uma solução que consiga implementar mTLS.

Bom dia, @israelcosta.
Acredito então, como não vai configurar no Apache ou Nginx o mTLS, você deverá registrar sua webhook URL com o atributo x-skip-mtls-checking=true
Veja mais detalhes e pontos de atenção em nossa documentação: https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls

Segundo ponto, os callbacks são enviados pela Efí via POST ​/pix quando há uma alteração no status do Pix. Então nestas rotas você deve esperar Route:post.

Por último, adicione também a rota POST '/webhook', pois é feito uma requisição de teste nela também.

Essa configuração se dá para o mTLS. Para o skip-mTLS onde você implementa as medidas de segurança, a recomendação é verificar o IP de comunicação da Efí e utilizar uma hash ao final da URL que você vai cadastrar no webhook.

Para realizar testea, você pode utilizar o parametro x-skip-mtls-checking como true. Lembrando que não é recomendado em produção. Em nossa documentação mostra como você informa esse parâmetro. https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls

Entendi, se eu ativar a função "x-skip-mtls-checking", Funcionará normalmente? ou pode ter algum tipo de problema?

Exemplo:

curl --cert-type P12 --cert seu_certificado.p12 --location --request PUT 'https://api-pix.gerencianet.com.br/v2/webhook/sua_chave_pix' \
--header 'x-skip-mtls-checking: true' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer seu_token' \
--data '{
"webhookUrl": "https://seu_endereco.com.br/webhook"
}'

--header 'x-skip-mtls-checking: true'
isso aqui ajuda resolver o problema de quem nao quer usar os certificados
manda no header da chamada

Será que a opção skip-mTLS pode ajudar? Eu verificaria a autenticidade da requisição dentro do container ao invés de configurar o cluster pra fazer mTLS. Será que funcionaria isso?

Bom dia! Estou integrando a API PIX da gerencianet com o sistema que trabalho, no entanto estou enfrentando uma dificuldade em configurar o webhook.
No momento o sistema em que trabalho esta impossibilitado de validar o certificado de vcs (mTLS) e por isso estou usando a opcao "x-skip-mtls-checking" como sugerido na DOC e configurando com um hash e validando pelo IP como indicado na DOC.
Ao configurar o webhook a API de vcs faz um teste na minha e o teste ocorre como esperado, IP e hash td validado.
No entanto ao realizar um pix a API de vcs esta enviando o hash incompleto e por o hask estar incompleto e nao bater com o esperado minha API esta negando a conexao. Nao to entendendo ja que inicialmente ao configurar o webhook a API de vcs envia o hash completo como informado mas na hora de notificar o pagamento esta enviando o hash incompleto
OBS: estou no ambiente de testes e ao criar a cobrança a API de vcs ja enviar a confirmacao do pagamento

Sim, só lembrar de adicionar x-skip-mtls-checking: true nos headers ao cadastrar a URL

@joao_efi se eu quiser usar o "Skip-mTLS" (utilizando a validação por ip e uma hash ao final da URL) basta eu ignorar o certificado ? os dados do pix pago entregues pelo POST poderá ser lido sem problemas?

Na verdade não é a Efí que precisa validar mTLS, é você. o skip-mTLS só desliga um teste que a Efí de se você está validando... mas você tem que validar de qualquer forma para estar de acordo com as regras do Banco Central.

Boa tarde @alexandrecosta1735 tudo certo?
O skip-mtls seguem as seguintes regras:

Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;

com o skip-mTLS setado como true, vai exigir o CA da Gerencianet?

boa noite. se eu configurar o skip-mTLS como true, vou receber as notificações mesmo assim?

Precisava verificar se meu webhook está operando normalmente com o skip-mtls, existe alguma outra possibilidade?

se eu for usar o skip-mtls, o endpoint de callback é uma função normal apenas validando o ip de vcs e o hash correto?

E uma terceira dúvida tb:
3 - O webhook de Pix utiliza mTLS, que pode ser "ignorado" (com Skip-mTLS). Caso seja necessário ignorar, além das opções de validação da documentação, se eu simplesmente considerar somente o txid vindo na requisição, realizar uma consulta à cobrança que eu gerei com esse txid e considerar os valores vindos dessa consulta, já não é suficiente para garantir que estarei processando dados seguros?

Bom dia @grupothx !
Em hospedagem compartilhada não é possível configurar o mTLS por não fornecerem as permissões necessárias.
Não sendo possível configurar o mTLS, você pode configurar uma URL de webhook ignorando esta validação.
Para isto, basta informar o parâmetro x-skip-mtls-checking igual a true no Header da requisição PUT /v2/webhook/:chave que será registrado seu webhook URL sem a validação do mTLS.

Desta forma, caso opte por deixar o x-skip-mtls-checking como true, a Efí vai continuar a enviar o certificado na requisição, mas como mencionado, seu servidor irá ignorá-lo.

No entanto é aconselhável que você encontre uma forma de validar se é a Efí quem está enviando a notificação, pois, sem o mTLS configurado não há o "hand-shake". Uma sugestão é verificar o IP de quem está notificando, pois a Efí comunica os webhook através do IP 34.193.116.226