O certificado do Discobot e o hijack.rb estão em um bar

Benjamin_D · Outubro 8, 2020, 11:25am

…e o web.socketed.template entra

Este me deixa confuso… Tenho um discourse https aparentemente perfeito, exceto pelo certificate.svg que não carrega. (erro 500, não é um bug, é certeza que é minha configuração )

Uso o web.socketed.template e lido com o SSL fora do container (então o web.ssl.template ainda está comentado no app.yml)
O log do rails diz: Failed to process hijacked response correctly : Failed to open TCP connection to my.domain:443 (Connection refused - connect(2) for "my.domain" port 443)

Entrei no container para ver o que há em /etc/nginx/conf.d/discourse.conf, como esperado, não vi nenhum bloco https (que teria aparecido se o web.ssl.template estivesse habilitado, acredito eu).

É possível que esta parte do web.socketed.template:

 - replace:
  filename: "/etc/nginx/conf.d/discourse.conf"
  from: /listen 443 ssl http2;/
  to: |
    listen unix:/shared/nginx.https.sock ssl http2;
    set_real_ip_from unix:;

não tenha sido aplicada porque o web.ssl.template não está habilitado e, de alguma forma, faz o hijack falhar?

Mas por que apenas para o certificado do discobot? O hijack não é usado bastante, como para o oneboxing? Arg… Estou nas margens do meu conhecimento, minha cabeça está doendo

ps. o snippet de ssl

ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:1m;
ssl_session_tickets off;

ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security 'max-age=31536000';

e o bloco nginx

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name my.domain;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/my.domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/my.domain/privkey.pem;
    include /etc/nginx/snippets/ssl.conf;

    client_max_body_size 0;

    http2_idle_timeout 5m; 

    location / {
        proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
        proxy_set_header Host $http_host;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Tópico		Respostas	Visualizações
502 Bad gateway error after switching to SSL Self-hosting	7	17405	4 de Maio de 2016
How should I enable letsencrypt while discourse is beside other websites Self-hosting	20	5204	14 de Dezembro de 2022
Run other websites on the same machine as Discourse Self-Hosting advanced-setup , how-to	66	137078	23 de Fevereiro de 2025
Installing discourse with http only (no https) Self-hosting	1	1360	9 de Maio de 2021
After activating HTTPS Discourse doesn´t work Self-hosting	16	1409	28 de Outubro de 2021

O certificado do Discobot e o hijack.rb estão em um bar

Tópicos relacionados