Discobotの証明書とhijack.rbがバーに

サポート インストール
1

…そして web.socketed.template が :grin: になります。

これが私を混乱させています… 一見完璧な https の discourse 環境があるのですが、certificate.svg の読み込みだけが失敗します。(エラー 500 です。バグではなく、私の設定に問題があるのは確かです :sob:

  • web.socketed.template を使用しており、SSL はコンテナの外で処理しています(そのため app.yml 内では web.ssl.template はまだコメントアウトされたままです)
  • rails ログには次のように表示されています:Failed to process hijacked response correctly : Failed to open TCP connection to my.domain:443 (Connection refused - connect(2) for "my.domain" port 443)

コンテナ内にログインして /etc/nginx/conf.d/discourse.conf の内容を確認しましたが、予想通り https ブロックは見当たりませんでした(web.ssl.template が有効であれば表示されたはずです)。

web.socketed.template のこの部分:

 - replace:
  filename: "/etc/nginx/conf.d/discourse.conf"
  from: /listen 443 ssl http2;/
  to: |
    listen unix:/shared/nginx.https.sock ssl http2;
    set_real_ip_from unix:;

が、web.ssl.template が有効でないために適用されず、その結果として hijack が失敗している可能性はありますか?

でも、なぜ discobot の証明書だけなのでしょうか?hijack は oneboxing などでよく使われているはずです。ああ… 私の知識の限界に達してしまい、頭が痛いです :sweat_smile:

追記:ssl スニペット

ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:1m;
ssl_session_tickets off;

ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security 'max-age=31536000';

および nginx ブロック

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name my.domain;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/my.domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/my.domain/privkey.pem;
    include /etc/nginx/snippets/ssl.conf;

    client_max_body_size 0;

    http2_idle_timeout 5m; 

    location / {
        proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
        proxy_set_header Host $http_host;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
Very slow discobot certificate generation on our server