Histórico de mensagens sobre mtls

o mTLS

uma duvida o mtls é unico para todos os recebedores de uma aplicação?

Sugestão: alinhar melhor com a equipe as informações a respeito dos [novos] recursos e exigências [removidas] para consumo da API Pix. Por ex: as informações a respeito da necessidade ou não de mTLS no PUT /webhook, bem como no recebimento dos callbacks, estão desencontradas lá no canal <#❖pix>. Tem membros da equipe GN dizendo A e outros membros dizendo B.

Então neste caso o mTLS ainda não está configurado e devido a isso não teve o cadastro da sua chave com o webhook

porem eu passo na hora de ativar o tls o ->withHeaders([
'x-mtls-bypass' => 0,
])

Bom dia <@!664563985885954079>, é necessário sim que você configure em seu servidor para que ocorra o mTLS. Neste caso você precisa inserir o nosso CA em seu VirtualHost e com isso o hand-shake vai ser feito com o CA enviado pela Gerencianet quando é consumido a rota PUT /v2/webhook/:chave.

Bom dia, então queria saber se para configurar os webhooks preciso ja ter o mTLS configurado ou posso dar um PUT na rota de configuração tranquilamente?

desculpa mas fiquei meio sem entender, se eu nao mandar x-skip-mtls-checking: 1, o que muda para mim? o mTLS nao seria eu que teria que verificar no meu nginx ou apache?

Não necessariamente, <@!664563985885954079>.

Conforme publicamos ontem, você adicionando o parâmetro x-skip-mtls-checking no header no endpoint PUT /v2/webhook/:chave, você irá registrar seu webhook à sua chave sem validação de mTLS durante o consumo.

Ou seja:
Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;

Salientamos que a Gerencianet continuará a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou. O POST entre Gerencianet e EC continua enviando o certificado.

<@!798679248633856000> Não. O certificado p12/pem é para a autenticação do consumo da API.
Já para a configuração do mTLS, você irá utilizar o CA com a chave pública da Gerencianet, sendo uma para cada ambiente, segue link das chaves públicas:
Desenvolvimento: https://pix.gerencianet.com.br/webhooks/chain-pix-sandbox.crt
Produção: https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt

Isso renato, então eu preciso de outro certificado para o mTLS, eu gero ele ou a GN me fornece?

Não o da GN, mas o que o EC apresenta. mTLS tem dois certificados envolvidos.

Rubens, são certificados diferentes. O que consome a API é individual por cliente e ambiente (dev/produção). O que usamos pra validar o mTLS nos callbacks é diferente (separados apenas por ambiente dev/produção, sendo os mesmos dois para todos os clientes).

então se eu fizer a verificação do mTLS no nginx por exemplo, o certificado que vou usar é o mesmo p12/pem do auth?

teria a ver com o mtls?

Guia de configuração de TLS (mas que não tem mTLS):
https://english.ncsc.nl/binaries/ncsc-en/documents/publications/2021/january/19/it-security-guidelines-for-transport-layer-security-2.1/IT+Security+Guidelines+for+Transport+Layer+Security+v2.1.pdf

Sim, configurando mTLS.

seja como for... se alguém preferir / precisar... Amazon tá aí, mtls-proxy do pix.ae também 😁

Notar que a Gerencianet não diz que o mTLS não é necessário, e sim que o integrador pode ter outras formas de implementá-lo em camada de aplicação e aí garantir o mesmo nível de segurança. Então quem não estiver validando se o cliente é mesmo a Gerencianet, está em violação da documentação do Pix.

mas "não seguir" mTLS seria não enviar o certificado. se é o EC que valida, qual a responsabilidade do PSP? qual o critério pra saber que o EC não tá validando?