Histórico de mensagens sobre mtls

Boa tarde, Lucas! Tudo joia?
Não, quando você desabilita a verificação mTLs, nos não realizamos esta validação, ou seja, o seu servidor não precisará estar com o mtls configurado

Mesmo desabilitando o mtls skip (na hora de criar o webhook) é necessário ativar tls no servidor?

O mTLS é a configuração realizada no servidor para o recebimento de notificações acerca de pagamentos, por exemplo.
No caso, os endpoints do Pix você precisar enviar junto com as credenciais Client_Id e Client_Secret um certificado.
No link a seguir você pode visualizar alguns exemplos: https://sejaefi.link/B1eRe-a4U3
Ou você pode usar uma de nossos SDKs também: https://github.com/gerencianet

mTLS

A Efí não tem como saber se o ambiente de produção está sendo usado para teste (há testes que só dá para fazer em produção), e não tem como saber se você não está testando o certificado na sua aplicação ao invés de no web server. Mas você sabe que não está olhando, então você sabe que mTLS não está sendo seguido... e se um dia a Efí tiver como confirmar isso, eles terão que desabilitar seu acesso.

https://www.bcb.gov.br/content/estabilidadefinanceira/pix/Regulamento_Pix/II_ManualdePadroesparaIniciacaodoPix.pdf

Página 46

Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário
recebedor trafegarão utilizando um canal mTLS.

O webhook também precisa de mTLS. Os endpoints que você citou são da Efí, que sim requerem mTLS... o endpoint do seu webhook também precisa.

mTLS é obrigatório segundo manual de iniciação do Pix e manual de segurança do Pix.

Exemplo:

curl --cert-type P12 --cert seu_certificado.p12 --location --request PUT 'https://api-pix.gerencianet.com.br/v2/webhook/sua_chave_pix' \
--header 'x-skip-mtls-checking: true' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer seu_token' \
--data '{
"webhookUrl": "https://seu_endereco.com.br/webhook"
}'

--header 'x-skip-mtls-checking: true'
isso aqui ajuda resolver o problema de quem nao quer usar os certificados
manda no header da chamada

Mas o 200 é o código de retorno para você, ou é um outro código retorno dizendo que você retornou 200 quando não deveria (que é quando a requisição não foi negada por falta de mTLS) ?

Estou precisando de ajuda para implementar o mTLS no endpoint do meu webhook, alguém pode me ajudar com isso?

mTLS não é o tipo de coisa que normalmente apareça em painéis de hospedagem... e o que vai determinar como fazer manualmente é o web server usado (Apache, nginx etc.)

alguem sabe como habilitar mtls no plesk em centos?

Precisa do certificado raiz da Efí. Aí você confere o certificado raiz e o common-name (mtls.sejaefi.com.br se me lembro bem).
(Em tempo: eu não sou da Efí)

Não. O que você já tem é TLS; o do webhook especificamente precisa de mTLS, que é o que você já tem mais uma checagem de quem está acessando.

Você ja realizou as configurações em seu servidor, inserindo a chave publica da Efí para que a comunicação obedeça o padrão mTLS?

Será que a opção skip-mTLS pode ajudar? Eu verificaria a autenticidade da requisição dentro do container ao invés de configurar o cluster pra fazer mTLS. Será que funcionaria isso?

Bom dia! Alguém sabe de um guia pra configurar o webhook em um cluster kubernetes? To tendo dificuldades de configurar o mTLS no meu cluster.

sim, como mtls