[Dúvida] Assinatura da requisição de callback do webhook com private key

[pedroluiznogueira]

Olá,

Estou com uma dúvida sobre a implementação de uma recomendação supostamente feita pelo bacen nas requisições de callback do webhook para pix.

Me foi informado que o bacen recomenda que a requisição de eventos do webhook enviada pelo PSP seja assinada com as chaves pública e privada do cliente. Isso me parece estranho, visto que geralmente assinamos com a chave privada e a verificação é feita posteriormente com a pública (sem envolvimento da chave pública na assinatura).

1. Poderiam me informar se o bacen realmente recomenda isso e se há alguma documentação para o mesmo ? Não consegui encontrar.
2. Acredito que sendo feita dessa forma ou apenas com a chave privada conforme mencionei, o bacen tenha alguma recomendação de onde deverá ser enviada a assinatura. Existe alguma recomendação de header específico ou algo assim ?

Agradeço pela ajuda. :smile:

[rubenskuhl]

Avisa qual banco é pq está fazendo errado. MTLS como especificado pelo BACEN não é nada disso.

Rubens

Em seg., 12 de set. de 2022 20:09, Pedro Luiz @.***> escreveu:

Olá,

Estou com uma dúvida sobre a implementação de uma recomendação supostamente feita pelo bacen nas requisições de callback do webhook para pix.

Me foi informado que o bacen recomenda que a requisição de eventos do webhook seja assinada com as chaves pública e privada do cliente. Isso me parece estranho, visto que geralmente assinamos com a chave privada e a verificação é feita posteriormente com a pública (sem envolvimento da chave pública na assinatura).

1. Poderiam me informar se o bacen realmente recomenda isso e se há alguma documentação para o mesmo ? Não consegui encontrar.
2. Acredito que sendo feita dessa forma ou apenas com a chave privada conforme mencionei, o bacen tenha alguma recomendação de onde deverá ser enviada a assinatura. Existe alguma recomendação de header específico ou algo assim ?

Agradeço pela ajuda. 😄

— Reply to this email directly, view it on GitHub https://github.com/bacen/pix-api/issues/525, or unsubscribe https://github.com/notifications/unsubscribe-auth/AA53LCJBGGKFBPH4IUSI47LV56Z3XANCNFSM6AAAAAAQK5ENIU . You are receiving this because you are subscribed to this thread.Message ID: @.***>

[pedroluiznogueira]

Isso quer dizer que não existe a recomendação de assinatura do callback ?

[rubenskuhl]

Sim. O webhook tem que ter certificado seu e validar o certificado do banco, mas só.

Mais um banco que não leu direito a especificação ou acha que ela é só recomendada.

Rubens

Em seg., 12 de set. de 2022 20:33, Pedro Luiz @.***> escreveu:

Isso quer dizer que não existe a recomendação de assinatura do callback ?

— Reply to this email directly, view it on GitHub https://github.com/bacen/pix-api/issues/525#issuecomment-1244711038, or unsubscribe https://github.com/notifications/unsubscribe-auth/AA53LCIEJCUUVWI3KZMSZK3V564WFANCNFSM6AAAAAAQK5ENIU . You are receiving this because you commented.Message ID: @.***>

[MHtecJairVieira]

Sim. O webhook tem que ter certificado seu e validar o certificado do banco, mas só. Mais um banco que não leu direito a especificação ou acha que ela é só recomendada. Rubens Em seg., 12 de set. de 2022 20:33, Pedro Luiz @.> escreveu: … Isso quer dizer que não existe a recomendação de assinatura do callback ? — Reply to this email directly, view it on GitHub <#525 (comment)>, or unsubscribe https://github.com/notifications/unsubscribe-auth/AA53LCIEJCUUVWI3KZMSZK3V564WFANCNFSM6AAAAAAQK5ENIU . You are receiving this because you commented.Message ID: @.>

Estou tentando configurar o webhook no IIS, eu possuo o certificado do Itaú e mais a chave, consigo criar um certificado pfx e importando para o IIS resolveria o problema da autenticação mtls?