Histórico de mensagens sobre mtls

Lembrando que você precisa fazer algo para reconhecer que quem você está usando para checar o mTLS é quem te encaminhou a requisição.

Já do AWS, tem um artigo específico sobre mTLS no API Gateway:
https://aws.amazon.com/blogs/compute/introducing-mutual-tls-authentication-for-amazon-api-gateway/

Do mtls.pix.ae é o que postei acima, que reproduz o que o mantenedor (@anoni_mato) divulga.

Opção mais high-end seria usar o API Gateway da AWS, que você pode usar mesmo que seu servidor não fique na AWS.
Opção mais simples seria usar o mtls.pix.ae.

O / é usado apenas na ativação do webhook, para confirmar que o webhook está respondendo e tem mTLS habilitado.
O /pix é o que é ativado para cada pagamento recebido ou devolução completada.

O Banco Central nunca disse claramente o motivo disso, mas a minha teoria é de que eles imaginavam que o webhook poderia sinalizar mudança de status em outros objetos como a cobrança. Mas na API Pix atualmente, só o o objeto pix está sendo sinalizado.

Você ja fez toda a configuração do mTLS no seu servidor?

Em nossa documentação nós temos exemplos de configurações com alguns tipos de servidores, incluindo Node e nGinx. https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-exemplos-de-configura-es-de-servidor
No seu caso, acredito que você terá de configurar o mTLS no nGinx, que será a ponta que vai receber a notificação vinda da Gerencianet para fazer o hand-shake.

Olá @rubenskuhl @Efí e demais colegas
Refiz todo o processo na tentativa de usar Gateway da AWS, Google Domains e Back4app para integrar WebHook PIX. Baseado no tutorial do Ciolfi em https://www.youtube.com/playlist?list=PLR5GUTqrcwXiA_JVKx8NDSJtaECeQO9AZ
Com sucesso ate no ponto em que peço :

Parse.Cloud.define('config-webhook',async(req)=>{
// options['validateMtls'] = true;
let body = {
"webhookUrl": "https://api1.brintec.org/prod/webhookpix1"
}

let params = {
chave: "[email protected]"
}
let gerencianet = new Gerencianet(options);


const result = await gerencianet.pixConfigWebhook(params, body);
return result;
});

E o return é:

{
"code": 141,
"error": {
"nome": "webhook_invalido",
"mensagem": "A requisição na URL informada falhou com o erro: ERR_TLS_CERT_ALTNAME_INVALID"
}
}

Alguma sugestão ?

O que também já foi citado no canal foi:

Tem este outro tutorial:
https://medium.com/contino-engineering/mtls-auth-with-aws-api-gateway-9bbd619f7de4

Desde que a configuração de mTLS afete só o endpoint do Pix, tudo bem... mas é o caso ?

Boa noite @yukoha ! É sim, inclusive é o recomendado para receber as alterações de status sempre que ocorrerem.
Vale lembrar que o ideal é que a URL de notificação dos boletos seja diferente da URL do webhook Pix, já que o Pix exige autenticação mTLS.
Dessa forma, caso utilize a mesma URL, a configuração do webhook Pix pode impedir das confirmações de boleto chegarem até o sistema.

Tem uma opção que é o pix.ae...

Todo o histórico aqui de Google Cloud é de não funcionar... eu cheguei a consultar uma pessoa do Google que confirmou que à época mTLS com CA privada não era uma opção. Em algum momento eles podem lançar, mas não consta que isso já tenha acontecido.

Boa noite! Existe alguma solução do webhook/certificado mtls pra servidores do Vercel?

Exatamente. A Gerencianet vai continuar a enviar o certificado na requisição, mas como mencionado, seu servidor irá ignorá-lo.
No entanto é aconselhável que você encontre uma forma de validar se é a Gerencianet quem está enviando a notificação, pois, sem o mTLS configurado não há o "hand-shake". Uma sugestão é verificar o IP de quem está notificando, pois a Gerencianet comunica os webhook através do IP 34.193.116.226

Essa flag desabilita apenas a checagem. Os requisitos do BACEN ainda obrigam a usar mTLS, essa flag apenas diz que você vai fazer a checagem de mTLS de outra forma.

x-skip-mtls-checking

Estou utilizando uma flag que desativa o mTLS