Sim, é mTLS também, mas o ponto era a dificuldade em ter que configurar um endpoint pra um webhook conectar e exigir mTLS, não o recurso sozinho em si.
Termos mais procurados:
Histórico de mensagens sobre mtls
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Alternativas para Detalhar QR Code Pix
- Endpoint para Recuperar Saldo
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Problemas com Token em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Utilização de Endpoints e Payload no Pix
- Cancelamento de Boleto e Remoção do DDA
- Implementação da SDK do Pix em Next.js ou React
- Recebimento de Pagamentos via QR Code e Arduino
- Cobrança em Período de Teste Grátis de 7 dias
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Autenticação com Certificado em NextJS
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Retenção de Pagamento no PIX em Marketplace
- Integração da API do Pix em Sistema Próprio
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Geração de payment_token pelo Postman e teste em homologação
- Especificação da URL do Webhook no Exemplo Pix
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Mesmo com cronjob você está usando mTLS... tanto que você apresenta um client-certificate. Só é mais fácil de implementar do que a checagem server-side, mas é mTLS também.
E usar um gateway de pagamento que não segue padrões é pedir para se tornar escravo.
O IP da Gerencianet que testei está sim coberto por um objeto RPKI, mas que tem zero efeito em redes que não validam.
Backbones Internet variam muito de segurança e qualidade... os que já foram usados para hijack mostram que isso é um problema.
O ponto de mTLS é que você disse que filtro por IP resolve, quando não resolve. Eu mesmo já apontei que não é o único design possível, e que há outras arquiteturas que não mTLS que sobreviveriam a IP hijack.
Mas o mTLS foi o que o instituidor do arranjo escolheu... não quer usar, só não aceitar Pix.
1 e 2) Se a Gerencianet não usa RPKI, não serve pra mexer com dinheiro. Se minha infra não verificam rotas, não serve pra ser minha infra.
3) Exato, então é mais fácil alguém hackear o backbone Internet, do que a AWS ou a Gerencianet? Pq sempre vai existir um vetor de ataque enquanto existirem humanos nesse planeta. Se a discussão se resume em "Ah mTLS é necessário pq existe a possibilidade de ataque X acontecer", daria pra se dizer o mesmo de toda e qualquer prática de segurança por mais infuncional que seja.
mTLS também não é garantia, pq alguém pode hackear a Gerencianet, e roubar os certificados do mTLS, e sair por aí enviando webhooks fraudulentos, se for seguir por essa lógica.
Sobre pedir mTLS, há duas estratégias para garantir integridade: uma é a que você mesmo vê na API de emissões da Gerencianet, onde a notificação só avisa de mudança de estado e você precisa de requisição direta para obter a alteração. A outra é carregar informação na requisição, e aí precisa de mTLS para ter certeza de quem veio. O Banco Central escolheu a 2a., mas ambas são alternativas válidas.
Sim, eu tenho gateways de pagamento pra cartão de crédito, e eles também não pedem mTLS, e são PCI Compliance.
Recursos de segurança que atrapalham o lado funcional não são úteis. O pessoal desde sempre utilizou webhook e ainda utiliza, sem mTLS, e nunca teve problemas. Inclusive MercadoPago funciona dessa forma, as IPNs não pedem certificado nem nada do tipo.
Amigo, faz igual eu, cria um cronjob pra ficar verificando as cobs usando o endpoint de pixDetail, e dando baixa nos pagamentos. Esse negócio de mTLS no webhook claramente foi criado por alguém que não precisa programar, pq só dor de cabeça.
Só sugiro que o hostname seja algo pouco óbvio, e não tipo mtls.exemplo.com.br ... já que esse hostname não vai passar pela segurança da Cloudflare.
Mas como você vai ter que usar outro hostname por causa da Cloudflare, vai ficar mais simples, pq toda URL nesse hostname pode exigir mTLS
Estou dando uma olhada nisso aqui: https://caddy.community/t/route-specific-mtls-authentication/13937
Mas já estou vendo sobre o mTLS
Mas tem que ser mTLS com CA privada, que aí você coloca a CA da Gerencianet.
Mas vou ver se ele não suporta mTLS, acho q suporta sim
Se o Caddy não suportar mTLS com CA privada, você vai ter que fazer isso no nginx num hostname que não passe pelo Caddy.
Como configurar esse mTLS?
O endpoint tem que fazer mTLS. Então ele precisa mostrar um certificado reconhecido, e além disso, exigir um client-certificate assinado pela Gerencianet.
Boa tarde, pessoal!
Gostaria de usar o webhooks do pix. Alguém poderia me ajudar com relação a configurar mTLS?
tenho que configurar o mTLS ainda.