Esse tipo de argumento foi passado para o BACEN, está no histórico do Github do BACEN. Mas não aceitaram, e o padrão é com mTLS. Notar que o webhook do Pix tem mais informações do que só um transaction ID, então isso pode ter colaborado para essa exigência. Ou por homogeneidade com o OpenFinance.
Até pq, uma opinião minha agr...
O webhook é o ponto "menos importante" pq a transação já aconteceu...
Uma forma de segurança q eu uso, pq vem da época de webhook q não tinha mtls, q é o caso do cartão e boleto, é quando recebo um webhook, não confiar nele, pego o id da transação e eu faço a consulta a api para validar o status...
Não, não verificar não impede de você checar mTLS do seu lado.
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.
Troque para skip-mtls-check. Essa opção não desliga o mTLS, desliga a verificação que eles fazem.
Até pq, na própria doc eles falam da hospedagem compartilhada, pq eles sabem que não dá para configurar o mtls...
Mas eu deixei bem claro a minha pergunta... "Posso utilizar do skip-mtls em produção?"
Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.
@igor_efi @elaine2983, podem dar uma orientação sobre esse assunto?? Em produção, usando hospedagem compartilhada, posso usar o skip-mtls, e validar o webhook pelo IP de origem??
Por acaso eu estava falando com um PSP esta semana, e eles implementam sim mTLS.
Pode denunciar todos então... Só conheço a EFI q usa o mtls...
Não tem opção de desabilitar o mTLS... tanto que eles sempre manda o certificado origem. A opção que tem é de desabilitar a checagem de se você implementou mTLS corretamente.
Se fosse assim, o BC removeria todos os Gateways, e manteria apenas a EFI, pq é a única que usa o mtls....
O IP de origem é uma checagem de segurança adicional que é prudente fazer, mas a obrigação do mTLS está definido pelo instituidor do arranjo Pix, o Banco Central. A Efí não pode dizer que na Efí é opcional.
Não não, só olhar a doc deles... Eles deixam bem claro que em hospedagem compartilhada pode usar o skip-mtls, e fazer a validação do webhook via IP de origem da request...
A Efí nunca disse isso. Quando você diz para a Efí não checar, você está dizendo que está checando o mTLS de outra maneira. E se você não fizer isso, e a Efí tiver evidência conclusiva disso, vai ter que desativar seu uso da API.
Pode em qualquer ambiente... Mas o recomendado é usar o mtls, mas caso o ambiente não permita, dá para usar sem problemas...
Na vdd, o skip-mtls pode ser usado em produção tbm....
Sim, mas para usar o de homologação pode-se o usar o x-skip-mtls-checking
