Histórico de mensagens sobre mtls

Boa tarde, @notrevedr! Tudo bem?

O ngrok te permite configurar o uma chave pública da Efí em seu servidor para que a comunicação obedeça o padrão mTLS?
https://dev.gerencianet.com.br/docs/api-pix-endpoints#webhooks

Outro detalhes é a adição do /pix no final da URL.
Ou seja, na request PUT https://api-pix.gerencianet.com.br/v2/webhook/:chave você irá passar o body com sua URL, exemplo:

Quanto a validação do Mutual TLS, existe alguma documentação a respeito? Atualmente estou usando o skip-mtls

sem problema, como eu poderia fazer esse skip-mtls

Acredito que o skip-mtls vai resolver a questão do certificado mtls. Como dito anteriormente, ainda será necessário ter um certificado ssl (https). Assim que você conseguir fazer isso, deve funcionar
As demais configurações do seu servidor sobre dns e cloudplare você pode verificar com o suporte da Hostgator mesmo

Sergio, o atributo skip-mtls é uma alternativa para ignorar o certificado mTLS e permitir a comunicação já que você utiliza um servidor compartilhado (hostgator) e não acesso as configurações dele, porém sem esse certificado fica por responsabilidade do cliente a verificação dos IPs que estão comunicando com seu servidor para garantir que a notificação enviada é realmente de Efí
Mesmo usando o skip-mtls, é necessário ter um certificado ssl no seu servidor. Caso esteja enfrentando muitas dificuldades, sugerimos que contate um desenvolvedor de sua confiança para te ajudar nessa integração

O atributo skip-mtls não resolve?

Não sei pq te disseram para usar Cloudflare nisso. A Cloudflare só tem suporte a mTLS com CA Privada nos planos Enterprise, e em geral o pessoal usa ou nível free ou níveis mais simples.

Além disso, não recomendo usar porta alternativa com tráfego https... melhor configurar em porta 443 mesmo, utilizando ou uma pasta configurada para exigir mTLS (exemplo.com.br/webhook) ou um hostname separado (webhook.exemplo.com.br).

Você precisa de um servidor onde seja possível ativar mTLS com CA privada. Isso tipicamente é um VPS em algum lugar ou um servidor dedicado.

Antes tinha na documentação, devem ter tirado do site pq pegava mal... 😉
Abre um # atendimento que eles te contam. Mas isso é algo que pelo regulamento do Pix apenas transfere para você o ônus de checar mTLS, o que 99.9999% das pessoas não fazem.

Ambiente de homologação você pode colocar o SKIP_MTLS_CHECK.

mTLS com CA privada é algo bem específico. Não é algo que venha configurado.

Você configurou o mTLs em sua hospedagem? Pode ser por esse motivo que a falha esta ocorrendo.

Eu já tenho um campo customizado com os CNPJ/CPF dos clientes e aparentemente o módulo não ta buscando essa informação, toda vez é necessário digitar esta informação em uma janela. Com relação ao certificado PIX se habilito o mTLS não funciona.

Não, mTLS é você só aceitar acionamento do webhook para o certificado da GN.

Olá Dalison! Você configurou o mTLS no seu servidor?

SSL connect error é retornado na requisição da nossa API quando você configura o seu servidor com mTLs?

Vários métodos que não mTLS foram sugeridos para o BACEN, e dá para ver no GitHub do BACEN as discussões sobre isso... o ponto é que definido um padrão, é para ser seguido. O momento de discussões sobre isso existiu, passou, e agora é o de implementar como padronizado.

Da um certo trabalho, pq o mTLS trabalha na camada de infra/webserver, então ativar um gateway, nesse caso, não basta codificar na linguagem escolhida, mas tbm mexer em uma outra camada...

Eu gosto do mTLS, digo da ideia pq ainda não implementei, no webhook, já que um medo q eu sempre tive, era o json vir de uma fonte não confiável, e aí eu tinha que ficar fazendo algumas requests para garantir a autenticidade do json...

Usando por mTLS, fica mais confiável da onde está vindo o json/request do webhook...

Isso é viés de quem depende de ambientes que não suportam mTLS com CA própria de cara. Você quer que o padrão nivele por baixo para o seu conforto ao invés de atender requisitos do maior sistema de transações financeiras já criado.