-
Notifications
You must be signed in to change notification settings - Fork 265
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Certificado mTLS #572
Comments
Se misturaram dois temas acima: CA emissora dos certificados e certificados propriamente ditos. Os certificados precisam ser sempre emitidos para o correntista fazendo a transação ou recebendo o webhook... agora, se quem emitiu os certificados foi o PSP, foi um prestador ICP-Brasil, foi uma CA confiável do CA/B Forum, tanto faz. A possibilidade de modelos OAuth com alguém representando terceiro já foi levantada aqui no fórum, e o BACEN diz que na versão atual, não. |
@rubenskuhl obrigado por responder, minha dúvida está atrelada especificamente a certificados propriamente ditos e não a CA emissora. Pois lendo toda a documentação do BACEN, essa obrigatoriedade ou eventual flexibilidade não fica explícita, para as chamadas da API, tal qual está explícita no uso do webhook, veja página 53 do Manual de Padrões para IniciacaodoPix
|
Sim para as duas primeiras perguntas, não para as duas últimas. A interpretação que você está tentando fazer é bem torta, e o histórico de postagens do BACEN neste repositório deixa bem claro que isso não vai colar. |
Reler o #83 pode ajudar nesta questão. |
Boa tarde,
Quanto ao requisito de segurança mTLS, em leitura ao Manual de Padrões
para Iniciação do Pix v2.6.3, página 46 item 2 c:
Isso signiifca que o PSP deve obrigatoriamente validar se o acess token gerado é de titularidade do certificado apresentado no momento das chamadas da API?
Pois quando se trata de webhook, a documentação é literal em enfatizar ser recomendável, porém esclarece que - "não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor."
Já nas chamdas da API, essa flexibilidade não está explícita, porém fiquei em dúvidas se o trecho transcrito acima da página 46 item 2 c, está vedando essa flexibilidade.
A dúvida é, posso fechar o mTLS com qualquer certificado confiável para o PSP recebedor apresentado na chamada, independente das credenciais OAuth serem de outro cliente?
The text was updated successfully, but these errors were encountered: