Cerficado Público

Para garantir a autenticidade dos eventos enviados via webhook, é necessário baixar e armazenar o certificado público fornecido pela API. Esse certificado será usado para validar a assinatura digital (signature) incluída no header das requisições.

Para garantir a autenticidade dos eventos enviados via webhook, é necessário baixar e armazenar o certificado público fornecido pela API. Esse certificado será usado para validar a assinatura digital (signature) incluída no header das requisições.

📥 Endpoint para Baixar o Certificado

API de consulta de certificado.


🛡️ Como Utilizar o Certificado?

O certificado deve ser usado para:

  • Verificar a assinatura dos eventos webhook (garantindo que foram enviados pela nossa API).
  • Validar o payload (evitar adulterações nos dados).


🚧

Recomendações

  • Armazene o certificado em um local seguro (ex.: variável de ambiente, sistema de secrets).
  • Atualize o certificado periodicamente (em caso de revogação pela API).
  • Valide sempre a assinatura antes de processar eventos.