Closed cryptographix closed 3 years ago
@SeanWykes ,
Estamos vendo excessiva demora de alguns PSPs em devolver o payload
Importante relato. Você pode encaminhar estes casos específicos diretamente para a caixa do Pix para que o DECEM encaminhe a questão.
mas queria perguntar se há alguma recomendação sobre "tempo de resposta" máximo e/ou timeouts para conexão HTTPS e recuperação do payload assinado.
@SeanWykes, não consigo consultar agora, mas acredito que não esteja especificado no "Manual de Tempos" do Pix. Consegue confirmar? É uma questão importante, realmente.
Outra questão, estamos vendo que alguns PSPs não estão incluíndo os certificados intermediários na conexão TLS. Para tanto, estamos habilitando a opção de AIA na biblioteca HTTP, justamente para não recusar payloads destes PSPs. O BACEN está considerando a criação de um roteiro/ferramenta de homologação para QR dinâmico? São muitas combinações de PSP, cada qual com configurações diferentes, payloads mistos (1.x, 2.0, 2.0+, 2.1), JWS e JWKS, etc.
Certo, vou pedir para o @dmkamers analisar este parágrafo.
@SeanWykes , confirmado que não há especificação de ANS para o payload JSON.
Vamos encaminhar a questão. Obrigado pelo reporte.
@SeanWykes o acesso seguro (https) ao location corresponde ao cenário típico web/mobile, e os PSPs devem se preocupar em causar o mínimo de atrito, assim como fariam para seus sítios web (por exemplo).
Sendo ambiente aberto e heterogêneo, há compromisso forte com a flexibilidade. Então evitamos fechar
demais as especificações. Acreditamos que haverá convergência.
Mas não está nos planos no momento disponibilizar roteiros ou ferramentas para homologação de QRCodes dinâmicos (acesso aos locations/payloads). As dificuldades podem ser relatadas ao Bacen (como o Filipe indicou), para avaliação.
Estamos vendo excessiva demora de alguns PSPs em devolver o payload. Pode ser que seja problema em ambiente de teste e homologação, mas queria perguntar se há alguma recomendação sobre "tempo de resposta" máximo e/ou timeouts para conexão HTTPS e recuperação do payload assinado.
Outra questão, estamos vendo que alguns PSPs não estão incluíndo os certificados intermediários na conexão TLS. Para tanto, estamos habilitando a opção de AIA na biblioteca HTTP, justamente para não recusar payloads destes PSPs. O BACEN está considerando a criação de um roteiro/ferramenta de homologação para QR dinâmico? São muitas combinações de PSP, cada qual com configurações diferentes, payloads mistos (1.x, 2.0, 2.0+, 2.1), JWS e JWKS, etc.