Callback - mTLS

[llatsch]

O certificado que eu gero para o meu cliente, para que ele possa utilizar a API-PIX, endpoints /cob /pix por exemplo, pode também ser utilizado no momento em que eu notifico o meu cliente no processo de callback via webhook para estabelecer o mTLS?

Manual de Iniciação - Requisitos de segurança obrigatórios - Página 2

9. Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário recebedor trafegarão utilizando um canal mTLS. a. Recomenda-se que os certificados utilizados para autenticação mútua no canal TLS do webhook sejam os mesmos da API Pix. De todo modo, não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor.

[renatofrota]

Acho que o trecho que você colou do manual responde a sua pergunta.

[llatsch]

Sim, quero "morrer de certeza" dado que quem está gerando o certificado inicialmente sou eu.

[renatofrota]

Bom, você quer saber se pode ser o mesmo certificado nos dois sentidos (consumo da API e envio de callback para o webhook). O manual diz que é possível e recomendado que seja (mas sem impedimento de que não seja) e esse esclarecimento foi adicionado na última versão do documento (2.2). Acho que já dá pra ter certeza - mas não precisa morrer 😂

[ninrod]

O certificado que eu gero para o meu cliente, para que ele possa utilizar a API-PIX, endpoints /cob /pix por exemplo, pode também ser utilizado no momento em que eu notifico o meu cliente no processo de callback via webhook para estabelecer o mTLS?

Sim.