Le certificat de Discobot et hijack.rb sont dans un bar

Soutien Installation
1

…et web.socketed.template entre :grin:

Celui-ci me laisse perplexe… J’ai un discourse https apparemment parfaitement fonctionnel, sauf pour certificate.svg qui ne se charge pas. (erreur 500, ce n’est pas un bug, c’est sûrement ma configuration :sob: )

  • J’utilise web.socketed.template et je gère SSL en dehors du conteneur (donc web.ssl.template est toujours commenté dans app.yml)
  • Le journal rails indique : Failed to process hijacked response correctly : Failed to open TCP connection to my.domain:443 (Connection refused - connect(2) for "my.domain" port 443)

Je suis entré dans le conteneur pour voir ce qu’il y a dans /etc/nginx/conf.d/discourse.conf. Comme prévu, je n’ai vu aucun bloc https (qui serait apparu si web.ssl.template était activé, je pense).

Est-il possible que cette partie de web.socketed.template :

 - replace:
  filename: "/etc/nginx/conf.d/discourse.conf"
  from: /listen 443 ssl http2;/
  to: |
    listen unix:/shared/nginx.https.sock ssl http2;
    set_real_ip_from unix:;

n’ait pas pu être appliquée car web.ssl.template n’est pas activé, et que cela fasse échouer le hijack d’une manière ou d’une autre ?

Mais pourquoi seulement pour le certificat de discobot ? Le hijack n’est-il pas utilisé fréquemment, par exemple pour le oneboxing ? Arg… Je suis à la limite de mes connaissances, j’ai mal à la tête :sweat_smile:

ps. l’extrait SSL

ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:1m;
ssl_session_tickets off;

ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security 'max-age=31536000';

et le bloc nginx

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name my.domain;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/my.domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/my.domain/privkey.pem;
    include /etc/nginx/snippets/ssl.conf;

    client_max_body_size 0;

    http2_idle_timeout 5m; 

    location / {
        proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
        proxy_set_header Host $http_host;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
Very slow discobot certificate generation on our server