Histórico de mensagens sobre mtls

O exemplo da GN para Nginx separa o mTLS só em um path:
server {
#
# ...
#
listen [::]:443 ssl ipv6only=on;
listen 443 ssl;
ssl_certificate server_ssl.crt.pem;
ssl_certificate_key server_ssl.key.pem;
ssl_client_certificate /root/chain-pix-webhooks-prod.crt;
ssl_verify_client optional;
ssl_verify_depth 3;
#
# ...
#
location /webhook {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
rewrite ^(.)$ /webhook;
}
}

Boa tarde. Alguém sabe a melhor maneira para configuração da webhook Pix dentro de uma rota específica, devido a verificação de mTLS

Lembrando que com x-skip-mtls-checking true você está assumindo a responsabilidade de checar que é mesmo a Gerencianet conectando de outra forma, por exemplo, na sua aplicação.

testei com true e false no header 'x-skip-mtls-checking: true' e somente com true a aplicação passa

Bom dia, <@!629460650212720641>! Tudo bem?
Devido a norma do Banco Central, é necessário a inserção de uma chave pública da Gerencianet em seu servidor para que a comunicação obedeça o padrão mTLS.
Você utiliza uma hospedagem compartilhada? Que tipo de servidor utiliza, Apache, Nginx, Node...?

Alan, você conseguiu implementar o mTLS do webhook no Google Cloud Functions? Estou com a mesma dificuldade.

O melhor que achei foi api getway da aws, custo muito bom e mais simples.
Alguém já postou um link aqui com tutorial, segue outros tutoriais:
https://medium.com/contino-engineering/mtls-auth-with-aws-api-gateway-9bbd619f7de4
https://aws.amazon.com/pt/blogs/compute/introducing-mutual-tls-authentication-for-amazon-api-gateway/

Pra quem tem dificuldades de implementar os webhooks por falta de suporte em hospedagem compartilhada para configurar mTLS, o Pix.ae agora oferece proxy de callbacks com mTLS.

Pra usar é muito simples: é só prefixar o seu domínio com mtls.pix.ae/. Por exemplo:

Para: https://exemplo.com.br/webhookpix
Use: https://mtls.pix.ae/exemplo.com.br/webhookpix

Obs: no ambiente de homologação, prefixe com mtls-h.pix.ae/

Achei o site https://pix.ae/, mas não vi nada sobre mTLS por lá... Como funciona?

Um MVP não teria CA externa, apenas a CA do Google. Que é o que a documentação sugere.

O mtls.pix.ae do @anoni_mato é gratuito.

Um MVP de mTLS parece suficiente neste caso. Tomara que o Google tenha isso mesmo. Rodar uma VM só para isso é financeiramente inviável. Vou seguir pesquisando... obrigado.

De qualquer forma, perguntei para um cara do Google. Ele vai checar internamente, mas comentei que muito do suporte a mTLS lá é recente. Ou seja, e aí dedução minha, mais para MVP (produto minimamente viável) do que para algo com mais features.

Não saber não significa que não exista, mas eu nunca vi um artigo de Google Cloud que tivesse um CA externa para validar mTLS. Talvez rodar uma VM de GCE só como API Gateway ? Ou usar o pix.ae do <@!440035527127990273> ?

Vi seu post falando do mTLS no Google Cloud Functions (Firebase), para criar o webhook do Pix. Parece que estou na mesma situação em que você estava um mês atrás... Já estou aprovando pagamento com Pix em produção, mas estou travado na criação do webhook mTLS com NodeJS no Functions. Como você resolveu? Agradeço se puder compartilhar alguma dica...

Pessoal... Espero poder ajudar mais pessoas. Tá aí o procedimento pra habilitar o "bendito" mTLS no Windows pra quem precisa também configurar isso no IIS. Qualquer dúvida estou a disposição.

Só que precisa criar uma rota sem mTLS para isso, provavelmente restrita à localhost.

O SSL Test parece correto:
https://www.ssllabs.com/ssltest/analyze.html?d=quero-mtls-prod.quero.space

Parece que você colocou um IP e um CNAME:
host quero-mtls-prod.quero.space
quero-mtls-prod.quero.space has address 50.17.164.221
quero-mtls-prod.quero.space is an alias for d-h27lxwhp39.execute-api.us-east-1.amazonaws.com.
quero-mtls-prod.quero.space is an alias for d-h27lxwhp39.execute-api.us-east-1.amazonaws.com.

Pessoal, estou com o mesmo problema do Cleverson Sacramento.

Vi que funciona com um Alias, mas no meu caso acho que não vai resolver. Os meus registros de DNS públicos estão no CloudFlare e a API está na AWS. Ai... Somente um CNAME msm 😦

Sobre o alias => https://discord.com/channels/775322853884821504/775328670784159744/816024432761765910
Exatamente oq fiz => https://discord.com/channels/775322853884821504/775328670784159744/810888316466495549

endpoint => http://quero-mtls-prod.quero.space/webhooks/


<@!781134406680838216> conseguem nós ajudar com isso?

O mTLS foi configurado neste endpoint?