Xiiii marquinhos... ninguém que já mencionou Google Cloud neste canal, foi dizendo que conseguiu. Até o momento parece que não há suporte mTLS por lá.
Termos mais procurados:
Histórico de mensagens sobre mtls
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Consulta de Chave PIX na API de Envio
- Implementação da SDK do Pix em Next.js ou React
- Configuração de URLs para Recebimento de Status
- Acionamento de Webhooks em Pagamentos e Devoluções
- Cobrança em Período de Teste Grátis de 7 dias
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Repetição do Processo de Criação com txid
- Implementação do Módulo Gerencianet no Perfex CRM
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Problemas com Token em Ambiente de Homologação
- Funcionamento do Webhook em Ambiente de Homologação
- Geração de Link de Pagamento e Reembolso
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Integração de Pix no Bubble (Plataforma No-Code)
- Notificações de Pagamento de Boleto e Pix
- Utilização de Endpoints e Payload no Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Boa tarde <@!623926773129936906>, exatamente. Você só vai precisar de trocar o certificado que utilizamos no mTLS do webhook. Link para download: https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt
Se a hospedagem pelo menos fizer um pass-thru do certificado apresentado, você pode fazer a checagem do mTLS na sua aplicação.
Caso continue sem o mTLS, você pode utilizar a dica do Rubens e conferir o nosso IP, mas sempre opte pelo mTLs se for possível configurar em seu servidor
Mesmo com a tratativa do IP as boas práticas de integração são utilizar os artifícios de segurança, no caso do webhook Pix é o uso do mTLS. O uso fora so mTLS é recomendado para quem utiliza hospedagens compartilhadas e não tem a opção de inserir o nosso CA.
Fico bem receoso de mexer nas configurações de um servidor de um cliente para habilitar o mtls, pra não quebrar o sistema e ele perder dinheiro
Checar o IP é uma boa forma, mas o que a regulamentação do Pix diz para usar é mTLS...
Tem como tornar essa operação segura sem usar o mtls, pensei em verificar se o ip que mandou a requisição é do gerencianet para aceitar a requisição ou existe formas mais eficientes de segurança?
Boa tarde! Minha dúvida é o seguinte: implementei a integração com a api pix de vcs no sistema do meu cliente, só que tive muita dificuldade para fazer a autenticação mtls para os webhooks, foi quando um amigo me ajudou colocando no header da requisição o "x-skip-mtls-checking: true". Sei que isso diz para não fazer a autenticação mtls no webhook gerando assim uma insegurança, agora com a mudança no certificado da gerencianet eu terei que mexer nisso?
Boa Tarde alguem que ja fez a configuracao do nginx com mtls consegue me dar uma mao ?
Boa tarde.
Terá uma atualização no certificado mTLS.
Gostaria de saber se preciso apenas alterar o certificado chain ou terei que fazer mais mudanças?
Há opções para colocar no meio do caminho e fazer essa checagem; mtls.pix.ae do <@!440035527127990273> , API Gateway do AWS...
E só pra explicar minha confusão, minha interpretação era de que o mTLS se tornaria obrigatório.
Mas acabei de ver na documentação que há a mesma notificação sobre servidores compartilhados.
Mas vou reforçar com o pessoal da Hostinger, para ver essa possibilidade também.
Como sua aplicação já não está utilizando o mTLS por conta dessa limitação, nada será afetado, já que o certificado que será atualizado é utilizado na configuração do mTLS.
Mas vale reforçar que como não está sendo utilizado o mTLS é recomendado que implemente em seu servidor outras verificações validando se a requisição vem da Gerencianet, e não de uma fonte fraudulenta.
Boa noite <@!764685636384456755> tudo bem? 🙂
Uma vez que o mTLS estiver configurado, ele previne que qualquer outra requisição que não seja da Gerencianet envie uma requisição contendo uma confirmação de pagamento falsa para seu sistema.
O parâmetro x-skip-mtls-checking segue as regras:
Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
Entretanto, em casos como o seu, onde o integrador opta por não realizar a checagem do mTLS, não muda a necessidade de confirmar que é a GN enviando a requisição. Onde, nessa situação, deve ser implementado pelo em seu servidor.Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
É importante frisar que a Gerencianet continua a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou. O POST entre Gerencianet continua enviando o certificado.
Oi, gente, tudo bem?
Uma dúvida: meu webhook foi configurado com parâmetro _false_ em _x-skip-mtls-checking_, nos headers.
O que eu devo fazer com a atualização do mTLS?
Sou cliente Cloud da Hostinger e não tenho acesso ao servidor para fazer a configuração dos certificados.
Valeu. 🙂
Pessoal tudo bem? Por favor queria falar com alguém sobre a mudança nos certificados mTLS
Só se for algum PSP que não checa mTLS. No caso da API Pix, em seguindo o padrão do BACEN, acesso não identificado não pode funcionar.
O exemplo da consultoria da Gerencianet para Express é assim:
const express = require("express");
const fs = require("fs");
const https = require("https");
const bodyParser = require("body-parser");
var logger = require('morgan');
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Gerencianet
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: false, //Mantenha como false para que os demais endpoints da API não rejeitem requisições sem MTLS
};
const app = express();
const httpsServer = https.createServer(httpsOptions, app);
const PORT = 443;
app.use(logger('dev')); // Comente essa linha caso não queira que seja exibido o log do servidor no seu console
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
// Endpoint para configuração do webhook, você precisa cadastrar https://SEUDOMINIO.com/webhook
app.post("/webhook", (request, response) => {
// Verifica se a requisição que chegou nesse endpoint foi autorizada
if (request.socket.authorized) {
response.status(200).end();
} else {
response.status(401).end();
}
});
const fs = require("fs");
const https = require("https");
const bodyParser = require("body-parser");
var logger = require('morgan');
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Gerencianet
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: false, //Mantenha como false para que os demais endpoints da API não rejeitem requisições sem MTLS
};
const app = express();
const httpsServer = https.createServer(httpsOptions, app);
const PORT = 443;
app.use(logger('dev')); // Comente essa linha caso não queira que seja exibido o log do servidor no seu console
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
// Endpoint para configuração do webhook, você precisa cadastrar https://SEUDOMINIO.com/webhook
app.post("/webhook", (request, response) => {
// Verifica se a requisição que chegou nesse endpoint foi autorizada
if (request.socket.authorized) {
response.status(200).end();
} else {
response.status(401).end();
}
});
Sobre a implementação da API, ela tem um grau médio de dificuldade. Apesar do padrão REST facilitar, algumas decisões do BACEN como o uso de mTLS não facilitam. Mas padrão é padrão, é para ser seguido.