Histórico de mensagens sobre mtls

Não pq a do Pix tem mTLS e a de emissões não. Talvez ter uma outra rota efi.shopchafe.com ?

Na verdade não é a Efí que precisa validar mTLS, é você. o skip-mTLS só desliga um teste que a Efí de se você está validando... mas você tem que validar de qualquer forma para estar de acordo com as regras do Banco Central.

Boa tarde @alexandrecosta1735 tudo certo?
O skip-mtls seguem as seguintes regras:

Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;

com o skip-mTLS setado como true, vai exigir o CA da Gerencianet?

Bom dia, @alexandrecosta1735! Sim. Você vai receber a notificação.
Optando por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, é interessante implementar medidas para garantir que quem está enviando os webhooks ao seu servidor é de fato a Efí. Deixamos em nossa documentação algumas sugestões.

boa noite. se eu configurar o skip-mTLS como true, vou receber as notificações mesmo assim?

Boa tarde @emersongarrido ! So é possivel cadastrar o webhook via API. em nossa documentação, você encontra algumas informações de como configurar o seu servidor. https://dev.gerencianet.com.br/docs/api-pix-endpoints#entendendo-o-padr%C3%A3o-mtls

Precisava verificar se meu webhook está operando normalmente com o skip-mtls, existe alguma outra possibilidade?

se eu for usar o skip-mtls, o endpoint de callback é uma função normal apenas validando o ip de vcs e o hash correto?

3- Sim, consultando o txid e verificando se houve o pagamento você pode confiar. Mas como a ideia do Pix é a confirmação e conciliação do pagamento de forma rápida, é recomendado a implementação do webhook com mTLS para que possa confiar na notificações de pagamentos.

E uma terceira dúvida tb:
3 - O webhook de Pix utiliza mTLS, que pode ser "ignorado" (com Skip-mTLS). Caso seja necessário ignorar, além das opções de validação da documentação, se eu simplesmente considerar somente o txid vindo na requisição, realizar uma consulta à cobrança que eu gerei com esse txid e considerar os valores vindos dessa consulta, já não é suficiente para garantir que estarei processando dados seguros?

Bom dia, @xferbe. Tudo bem?
Isso. A Efí irá fazer 2 requisições para o seu domínio. A primeira sem sem certificado e seu servidor não deverá aceitar a requisição. Na segunda notificação, o seu servidor deve conter a chave pública disponibilizada para realizar o "Hand-Shake" e assim a comunicação ser estabelecida.

Esse certificado não é enviado através do header da requisição, segue o padrão de comunicação mTLS. Nos disponibilizamos alguns exemplo de configuração de servidor: https://dev.gerencianet.com.br/docs/api-pix-endpoints#exemplos-de-configura%C3%A7%C3%B5es-de-servidor

A checagem que a Efí é só um conforto para você saber que está tudo certo. Mas a responsabilidade é sua de seguir as regras... o que o parâmetro faz é desabilitar a checagem, mas você precisaria fazer a checagem mTLS de outro jeito. Por exemplo com seu provedor de hospedagem passando via headers qual o certificado cliente que foi apresentado.

Por favor, atualizem a documentação. Passei 7 dias brigando para configurar o MTLS para a função sendPIX, pois na documentação diz ser necessário... além dos custos extras de uma máquina dedicada para isso...

Mas isto funciona para produção? Havia entendido conforme documentação, que o skipe-mtls é válido somente para o ambiente de homologação.

Bom dia @grupothx !
Em hospedagem compartilhada não é possível configurar o mTLS por não fornecerem as permissões necessárias.
Não sendo possível configurar o mTLS, você pode configurar uma URL de webhook ignorando esta validação.
Para isto, basta informar o parâmetro x-skip-mtls-checking igual a true no Header da requisição PUT /v2/webhook/:chave que será registrado seu webhook URL sem a validação do mTLS.

Desta forma, caso opte por deixar o x-skip-mtls-checking como true, a Efí vai continuar a enviar o certificado na requisição, mas como mencionado, seu servidor irá ignorá-lo.

No entanto é aconselhável que você encontre uma forma de validar se é a Efí quem está enviando a notificação, pois, sem o mTLS configurado não há o "hand-shake". Uma sugestão é verificar o IP de quem está notificando, pois a Efí comunica os webhook através do IP 34.193.116.226

Consegui gerar a cobrança pix com PHP.
Mas, para receber o retorno do pagamento e baixa imediata como vcs fazem ?
Travei na questão da mTLS em hospedagem compartilhada.
Dá esse erro: 400webhook_invalidoA autenticação de TLS mútuo não está configurada na URL informada
Alguém que possa ajudar (primeira vez usando esse tal Discord, peço desculpas se estou no lugar errado)

Com mTLS ?

:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/09743-projeto-plataforma-menuvem/public
ServerName teo.menuvem.com.br

SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key


Options FollowSymLinks
AllowOverride None


Options Indexes FollowSymLinks MultiViews
AllowOverride All
# Order allow,deny
#allow from all
Require all granted


# mTLS Gerencianet
#Chave pública da Gerencianet
SSLCACertificateFile /etc/apache2/ssl.crt/chain-efi-nuc-open-finance-prod.crt
SSLVerifyClient none
SSLProtocol TLSv1.2


SSLVerifyClient require
SSLVerifyDepth 3


# Tratando o /api/open_finance, redirecionando as requisições sempre para /webhook
#Alias "/api/open_finance/callback" "/var/www/09743-projeto-plataforma-menuvem/api/open_finance/callback"


CustomLog ${APACHE_LOG_DIR}/access.log combined

{
"nome": "webhook_url_invalido",
"mensagem": "Erro ao fazer handshake com mTLS no webhookURL"
}