Histórico de mensagens sobre mtls

Bem pontuado pelo Rubens! Com o mTLS que é inclusive exigido pelo Banco Central as informações transitadas são seguras

Como o callback tem mTLS, dá para confiar na integridade e autenticidade. Agora, se perder o callback, aí vale fazer GET .

(e aí depois fechar com mTLS)

Mais um dia de estudos, testando criações de tokens, cobranças , com a ajuda da GN e do pessoal aqui "Fizemos Progresso". Amanhã continua a mini-série "A SAGA DO PIX" capítulo teste de mTLS 🙂 Otimo dia a todos.

mas esse subdomínio do mTLS deixar de funcionar conforme o planejado, te complica. vc gera cobranças mas não recebe os webhooks.

ok, tudo bem, mais se eles fizerem o mTLS para apenas um sub-dominio nosso, não tem por que influenciar nos outros que estão rodando.

O mTLS é simples de configurar, aqui fizemos com apache, você cria um subdomínio pix.sualoja.com.br e faz a configuração do mTLS seguindo a documentação da gerencianet, é necessária a criação desse subdomínio pra não impedir o acesso ao dominio principal pois só quem possui a outra "parte do certificado" terá acesso que é a gerencianet, isso torna o ambiente bem mais seguro

Exato, por isso coloquei a importancia do mTLS 🙂

se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso

Não com o mTLS, onde o m é de mútuo. Você tem que reconhecer a GN e a GN reconhecer você antes de qualquer transferência acontecer.

Se a pessoa tiver a sua url e tambem tiver todos os dados da cobrança sem você ter o mTLS, ela pode enviar um POST para a url e se seu sistema validar os dados enviados, vai interpretar que foi pago. Ja que em uma cobrança todos os dados são expostos e são abertos. Por isso a importancia do mTLS com o certificado da GN.

Pessoal, a respeito do webhook. Há como outra pessoa fazer uma requisição na minha url de retorno (simulando a gerencianet) e confirmando um pagamento fake ou o mTLS já protege contra isso ?

com mTLS ?

O cacique Apache ainda não fez a dança da chuva com a GN aqui na tribo SERVER. Eles ainda não apertaram as mãos com mTLS. Esta é o grande encontro esperado , por causa da pandemia, eles não podem hoje apertar as mãos sem os certificados.

o hostname que vai receber os requests (para as URLs registradas como webhook) precisa fechar um mTLS com o certificado fornecido pela GN, então não dá pra colocar atrás do Cloudflare (precisa deixar a "nuvem cinza" na página de DNS para o IP ficar exposto). mas os IPs podem ser filtrados diretamente no seu servidor, obviamente.

Tanto não precisa ser EV no mTLS que pode ser uma CA própria da GN como ela está fazendo... mas aí a GN atribuiu confiança à sua CA através dos processos de emissão.

emitir um certificado é trivial, Rubens 😂 .. cadeia de certificação só é necessária quando vc não conhece previamente o seu interlocutor e precisa validar que "ele é quem diz ser". para criptografar a comunicação entre 2 pontas que sabem quem é quem e já se confiam mutuamente, o mTLS pode ser com qualquer certificado

na verdade acabei de ler o manual, e aparentemente apenas o certificado do https://qrcodes-pix.gerencianet.com.br (onde ficam os payloads dos QR dinâmicos) deve ser emitido por entidade amplamente reconhecida (e deve ser "EV", inclusive). já os certificados de mTLS pra consumo da API e pra envio dos callbacks não tem exigência de ser emitido por CA reconhecida.

Com certeza, vai facilitar para os integradores. A determinação do banco central precisa ser seguida de qualquer forma, com o padrão mTLS, mas outras formas sugeridas pela própria comunidade e que atendam aos requisitos podem ser implementadas.

Estou com este mTLS ativo da cloudflare desde o dia 23 de Nov, porém ele não serve para nada 😦