Ao testar para contornar o proxy Apache2 no host do contêiner Discourse e desabilitar os redirecionamentos forçados de HTTPS no Cloudflare para testar conexões HTTP simples via curl, finalmente encontrei o culpado no Cloudflare:
Não tenho certeza do que mudou com nossa troca de VPS e/ou a atualização do Discourse de 3.5.0.beta3 para 3.5.0.beta4 e/ou coincidentemente no Discourse ao mesmo tempo, mas parece que algo nos documentos HTML, CSS ou JavaScript do Discourse faz com que a reescrita HTTPS do Cloudflare de URLs incorporadas falhe. Parece que as requisições curl parciais e pendentes não estavam realmente relacionadas, ou talvez estejam. É estranho que na aba de rede do navegador se possa ver o conteúdo parcial do documento HTML, como se o recurso de reescrita HTTPS o fizesse enquanto o transmite pelo documento.
Talvez alguém mais tenha uma instância e uma conta Cloudflare para testar isso, seja um problema geral ou relacionado à nossa instância/configuração específica?
A propósito, para testar o contorno do proxy, bem como o HTTP, mantendo a conexão via proxy ativa, ajustar manualmente a configuração do Nginx dentro do contêiner desta forma funciona perfeitamente:
root@dietpi-discourse:/var/www/discourse# cat /etc/nginx/conf.d/outlets/server/10-http.conf
listen unix:/shared/nginx.http.sock;
set_real_ip_from unix:;
listen 8080;
listen [::]:8080;
listen 8443 ssl;
listen [::]:8443 ssl;
http2 on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_certificate /shared/fullchain.cer;
ssl_certificate_key /shared/dietpi.com.key;
ssl_session_tickets off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:1m;
É importante remover os redirecionamentos HTTPS e o cabeçalho HSTS, é claro, e expor as portas adicionadas.