Não pode usar certificado auto-assinado. E não pode usar certificado wildcard ().
Termos mais procurados:
Histórico de mensagens sobre Wildcard
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Acionamento de Webhooks em Pagamentos e Devoluções
- Consulta de Chave PIX na API de Envio
- Implementação da SDK do Pix em Next.js ou React
- Cobrança em Período de Teste Grátis de 7 dias
- Configuração de URLs para Recebimento de Status
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Integrações com o Laravel e SDK de PHP da EFI
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Problemas com Token em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Funcionamento do Webhook em Ambiente de Homologação
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Utilização de Endpoints e Payload no Pix
- Integração de Pix no Bubble (Plataforma No-Code)
- Implementação de método em C# para cálculo de CRC16
- Possibilidade de Split na API de Pix
EXIBINDO CONVERSAS RECENTES:
Texto: Wildcard
Dá para usar sim, mas tem que ter muito cuidado de nunca gerar um certificado com wildcard. Gere um certificado para um sub-domínio específico (ex: webhook.exemplo.com.br, api.exemplo.com.br).
Sim... curioso que o request para eles deu (HTTP/1.1 502 Bad Gateway) , pior ainda que o 401/403 que a Gerencianet está tendo.
O que deu para notar, mas que não explicam os resultados com 401/403/502:
- Certificado wildcard para o domínio, e isso não pode ser usado na API Pix. O certificado deveria ser para api.dominio
- Configurações de ciphers TLS que apesar de atender ao mínimo da API Pix (incluir o TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256), tem muitos ciphers fracos. Seguir o especificado em https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 deve melhorar isso.
Se você tira o location e tenta acessar via browser o endereço, o que acontece ?
Boa tarde, pessoal.
Depois de muito bater a cabeça, enfim resolvi o problema da configuração do WEBHOOK usando API GATEWAY do AWS.
Eu segui rigorosamente o tutorial do Daniel Ciofi :
https://www.youtube.com/watch?v=w2Wizyo5Ljk
Porém, no final eu recebia o erro ERR_TLS_CERT_ALTNAME_INVALID e, para resolver este problema, eu fiz os seguintes passos:
AWS:
1) Excluí e criei novamente o certificado sem o nome alternativo contendo o coringa wildcard "."
2) Editei e apontei o api gateway para usar este novo certificado.
3) Criei um zona de hospedagem no Route 53 (contrariando as indicações vistas aqui) usando o mesmo nome da api gateway (api.meudominio.com)
4) Dentro da zona de hospedagem já criada, criei um novo registro com as seguintes características :
- Nome do Registro : nulo (pois já aponta para o nome completo api.meudominio.com)
- Tipo de Registro: A
- Marque a opção Alias
- Rotear tráfego para : API do API Gateway
- Região: Leste dos Estados Unidos us-east-1
- EndPoint : (Nome de domínio do API Gateway gerado lá no meu domínio personalizado)
DOMÍNIO:
5) No DNS, excluí todos os registros personalizados (aqueles apontamentos CNAME conforme tutorial)
6) Criei um novo registro do tipo NS e coloquei o 4 valores que foram gerados na zona de hospedagem conforme o passo 3.
7) Criei um novo registro do tipo A, e como o dados esperava uma valor do tipo IPV4 fixo, fiquei na dúvida de como apontar, daí eu fui no "Route 53 > Zonas hospedadas > api.meudominio.com > Testar registro" e vi que tinha um Endereço IP do resolvedor 192.0.2.25, coloquei esse IP em dados
8) Chamei o gerencianet.pixConfigWebhook(params, body) e Voilà !!
OBS: Pode ser que eu tenha feito algo desnecessário ou algo a mais do que devia, mas desta forma funcionou perfeitamente.
Espero ter ajudado
Abraços
As regras banindo certificados wildcards estão desde a primeira edição do manual de iniciação que continha a API Pix.
Não tive sucesso. ainda estou nessa batalha, ja fiz e refiz meu certificado várias vezes e de várias maneiras e ate agora nada.
Mesmo sem o WildCard . o mesmo não funciona:
https://www.ssllabs.com/ssltest/analyze.html?d=api.shopchafe.com
Talvez editar o vídeo que sugere usar wildcard para remover isso ? O pessoal segue, acha que seguindo o vídeo está certo, e não está...
Boa tarde @guibsonlizardo e @rgabriel15. Tudo bem com vocês?
Parece que estão enfrentando o mesmo problema seguindo o vídeo tutorial.
De acordo com alguns membros da comunidade que também utilizam a AWS, disseram que quando você usa o wildcard na criação de um certificado, ele gera uma zona hospedada automaticamente, ocasionando neste problema.
Para solucionar, o procedimento seria ir em Route 53 e deletar a zona hospedada que foi criada.
Segue link da discussão: https://discord.com/channels/775322853884821504/775328670784159744/1019987046883930183
Mas tem que sumir com os records wildcard no Route53 também. Você usando ou não Route53 no domínio.
Leandro, nos teste que fizemos, a falha aparecia somente quando era gerado um certificado WildCard.
Recomendamos que você crie um certificado exatamente para o seu subdomínio.
O pessoal conseguiu também corrigir fazendo o procedimento citado aqui: https://discord.com/channels/775322853884821504/775328670784159744/1031708745115377755
Excluindo todas as zonas e criando um novo certificado sem Wildcard soluciona o problema.
Isso, @danylo2273. No Route 53, quando você usa o wildcard na criação de um certificado ele gera uma zona hospedada automaticamente. Então exclui essa zona criada que está com o .
Muito obrigado por compartilhar com a gente! Realmente estávamos verificando que quem emitia usando wildcard estava recebendo essa falha. Porém, mesmo deletando o certificando a falha estava ainda acontecendo.
Interessante. Se alguém usar o wildcard, mesmo apagando o certificado ainda fica essa configuração no Route 53?
Isso mesmo, o problema estava no Route 53, acho que quando você usa o wildcard na criação de um certificado ele gera uma zona hospedada automaticamente, exclui essa zona criada e resolveu o problema.
tentei averiguar as hipóteses, mas por enquanto não achei o motivo do erro, usei o comando
true | openssl s_client -connect "url do domínio".com:443 -showcerts | openssl x509 -text -noout
, e o subdomínio aparecia no Subject Alternative Name, não sei aonde os resquísios do wildcard podem estarEntão né, acho que por algum motivo o wildcard fica armazenado no elasticloadbalancing, se tivesse como "limpar o cache" do ARN poderia resolver, vou testar amanhã essa hipótese https://docs.aws.amazon.com/cli/latest/reference/storagegateway/reset-cache.html
Todo mundo que já usou wildcard em algum momento relata o mesmo que você. Por algum motivo parece que o certificado anterior "gruda".
Configurei o domínio personalizado sem wildcard porém continuo recebendo o erro ERR_TLS_CERT_ALTNAME_INVALID, alguém tem alguma ideia do que ainda poderia estar dando conflito? Certificado mostrado no teste de SSL
Subject webhook.enfurtini.com
Fingerprint SHA256: 55b85bfacb94044b7ee3448cb3abe22c053bbeb34cccba7c5aefa1b82aaba39c
Pin SHA256: 8RlvhiAU3XiFLsSJg9ZNutQ3Um/fWX5U34v19AourJo=
Common names webhook.enfurtini.com
Alternative names webhook.enfurtini.com
Serial Number 0291fc92ed5f8d30bb50376fd1b23f43
Valid from Fri, 02 Sep 2022 00:00:00 UTC
Valid until Mon, 02 Oct 2023 23:59:59 UTC (expires in 1 year)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Amazon
AIA: http://crt.sca1b.amazontrust.com/sca1b.crt
Signature algorithm SHA256withRSA
Extended Validation No
Certificate Transparency Yes (certificate)
OCSP Must Staple No
Revocation information CRL, OCSP
CRL: http://crl.sca1b.amazontrust.com/sca1b-1.crl
OCSP: http://ocsp.sca1b.amazontrust.com
Revocation status Good (not revoked)
DNS CAA No (more info)
Trusted Yes
Mozilla Apple Android Java Windows
Fingerprint SHA256: 55b85bfacb94044b7ee3448cb3abe22c053bbeb34cccba7c5aefa1b82aaba39c
Pin SHA256: 8RlvhiAU3XiFLsSJg9ZNutQ3Um/fWX5U34v19AourJo=
Common names webhook.enfurtini.com
Alternative names webhook.enfurtini.com
Serial Number 0291fc92ed5f8d30bb50376fd1b23f43
Valid from Fri, 02 Sep 2022 00:00:00 UTC
Valid until Mon, 02 Oct 2023 23:59:59 UTC (expires in 1 year)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Amazon
AIA: http://crt.sca1b.amazontrust.com/sca1b.crt
Signature algorithm SHA256withRSA
Extended Validation No
Certificate Transparency Yes (certificate)
OCSP Must Staple No
Revocation information CRL, OCSP
CRL: http://crl.sca1b.amazontrust.com/sca1b-1.crl
OCSP: http://ocsp.sca1b.amazontrust.com
Revocation status Good (not revoked)
DNS CAA No (more info)
Trusted Yes
Mozilla Apple Android Java Windows
Agora, se dá o erro TLS_CERT_ALTNAME_INVALID é por causa disto aqui:
Subject api-webhook-bot-store.tk
Fingerprint SHA256: 153a5959affaa7de74a6b38e5997b73fe5a532d1e9bd88ed90edf82424c37e65
Pin SHA256: b8qTnOZITjlzeIMPpT+4gfc9WeS6Lsve3zfTTsE89u0=
Common names api-webhook-bot-store.tk
Alternative names api-webhook-bot-store.tk .api-webhook-bot-store.tk
Esse vídeo sugere algo que não funciona direito na GN que é usar wildcard (asterisco). Coloque o subject e o common name como api.api-webhook-bot-store.tk e o alt name sem nada.