Para o mTLS é necessário fazer modificações no Webserver e por isso as empresas de hospedagem compartilhada não oferece.
Termos mais procurados:
Histórico de mensagens sobre mtls
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Consulta de Chave PIX na API de Envio
- Acionamento de Webhooks em Pagamentos e Devoluções
- Configuração de URLs para Recebimento de Status
- Implementação da SDK do Pix em Next.js ou React
- Cobrança em Período de Teste Grátis de 7 dias
- Especificação da URL do Webhook no Exemplo Pix
- Repetição do Processo de Criação com txid
- Recebimento de Pagamentos via QR Code e Arduino
- Implementação do Módulo Gerencianet no Perfex CRM
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Problemas com Token em Ambiente de Homologação
- Funcionamento do Webhook em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Integração de Pix no Bubble (Plataforma No-Code)
- Notificações de Pagamento de Boleto e Pix
- Utilização de Endpoints e Payload no Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Bom dia, queria saber se posso ter problemas com o mtls em uma hospedagem compartilhada(hostgator por exemplo)
pois no recebimento do callback só é necessário validar o client certificate da GN pra fechar o mTLS, não se usa o certificado de consumo
sendo o "webhookUrl/pix" acionado somente no recebimento de Pix e trazendo o txid + valor pago, já possibilitaria muitas integrações. com mTLS não fica tão facilitado, mas ainda perfeitamente possível.
Mas para só o recebimento de notificações bastar, ele precisa ter as informações do recebimento... o que cai em requisitos que muitos acham pesados como mTLS. A simplificação do webhook com apenas (vê aí o que mudou no txid tal) torna a API direta mais necessária do que nunca. A única coisa que poderia atender isso seria não uma URL de notificação, mas o comprovante Pix digitalmente assinado.
Vc pode configurar o api gateway da aws pra receber o request e direcionar pra sua aplicação, ele cuida do mtls
não. se vc passar ela, vai funcionar, mas estará sem mTLS
Boa tarde <@!400114559299616769>, como muito bem informado pelo Renato nós continuamos enviando o certificado, o que o x-skip-mtls-checking faz é dar a decisão ao integrador se ele vai ou não verificar o CA na requisição. Fizemos isso para auxiliar clientes que utilizam servidores compartilhados, mas a recomendação é sempre configurar o mTLS.
aí você pode configurar seu nginx pra validar (e re-cadastrar a URL sem o x-skip-mtls-checking) ou fazer uma consulta à API pra verificar se o Pix foi mesmo recebido; o que vc achar melhor (a primeira opção exige menos recursos do seu servidor e da GN, além de ser marginalmente mais segura)
se você passou o x-skip-mtls-checking na hora de cadastrar a URL de webhook, a GN não certifica que você está validando o client certificate usado nos callbacks. nesse caso, você está sob risco de alguém enviar notificações falsas pra vc, o que é um problema caso você não verifique com uma nova consulta à API se o pix foi realmente recebido
Pessoal, fiquei um tempo afastado das discussões acerca do Pix aqui no servidor, mas alguém pode me confirmar se a única mudança que teve com relação ao webhook foi a adição do x-skip-mtls-checking ?
const config = {
method: 'put',
url: https://api-pix.gerencianet.com.br/v2/webhook/${pixkey},
headers: {
Authorization: Bearer ${token},
'Content-Type': 'application/json',
'x-skip-mtls-checking': false
},
httpsAgent: this.#agentPix,
body: {
webhookUrl: 'https://meucallback/api/pagamento/pix/callbackPix'
}
};
A checagem de mTLS só foi suprimida para permitir que ela seja feita de outras formas, não para não ser feita. Você pode estar colocando a GN numa fria numa dessas, e ela vai ter que checar mesmo que por auditoria amostral se os clientes estão mesmo checando.
Obrigado pela resposta rápida, Rubens!
Só de suprimir o teste do mTLS já me ajudou um bocado, espero que continue assim pois não temos a menor intenção de implementar esta medida de segurança que pouco nos afeta.
E quanto aos dados serem suprimidos. Poxa vida, que passo para trás, agora será bem fácil darem golpe com o PIX roubado de terceiros e a gente nem sequer saber 😦
Na verdade o parâmetro ignora o teste de mTLS... o mTLS ainda é requerido. Já a informação de pagador foi sim suprimida pela Gerencianet em alinhamento com a versão nova da API do BACEN, e você pode se juntar à legião que sente falta dela. Instituição pagadora você tem pelo E2EID, que começa com o ISPB do PSP pagador. CPF do pagador você tem como checar se quem pagou é um CPF que você imaginava, mas para isso você precisa passar o CPF que você acha que pagou como parâmetro.
Boa noite, pessoal. Estou terminando a integração com a API Pix e achei tudo muito prático, apanhei um pouco para o webhook com mTLS mas ainda bem que vi aqui sobre o parametro para ignorar o mTLS, bem mais fácil hehe 🙂 Poderiam adicionar o parametro na documentação para mais pessoas saberem sobre o parametro.
galera eu to confuso com um ponto da documentação,
> Callbacks
> Esse serviço está protegido por uma camada de autenticação mTLS. Os callbacks são enviados pela Gerencianet via POST {$request.body#/webhookUrl}/pix quando há uma alteração no status do PIX.
>
<@!671762828046106646> <@!671763456487325717>
https://documenter.getpostman.com/view/13574984/TVzVgvBA#b48f8b28-7a53-4de4-8b6c-49b5568cb55e
Está com o header["x-mtls-bypass"] quando na verdade deveria ser header["x-skip-mtls-checking"].
Assim como você utiliza as credenciais para autenticação das transações em ambiente homologação para testes ou produção, você pode utilizar este certificado mTLS com o mesmo intuito.
É um certificado único para a aplicação, sendo um para cada ambiente. Segue link dos certificados que contém as chaves públicas da Gerencianet que você utilizará para o mTLS:
Desenvolvimento: https://pix.gerencianet.com.br/webhooks/chain-pix-sandbox.crt
Produção: https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt