Édit : je change cela en un bug. Force_https est maintenant désactivé sur des sites où il était auparavant activé, ce qui casse certaines fonctionnalités.
J’ai passé un moment à déboguer un site où « les uploads ne fonctionnent pas ». Après avoir énuméré toutes les solutions évidentes (reconstruction, mode sans échec, prise en compte de plugins non standard), j’ai finalement remarqué un avertissement de contenu mixte et activé force_https, et tout fonctionne à nouveau.
Je pensais qu’il y a un ou deux ans, force_https était activé par défaut, mais récemment, j’ai entendu (ou peut-être vu) à plusieurs reprises que des problèmes survenaient parce que force_https n’était pas activé.
Y a-t-il une raison de ne pas l’activer par défaut ?
[/quote]
J’ai passé un moment à déboguer un site où « les uploads ne fonctionnent pas ». Après avoir énuméré toutes les solutions évidentes (reconstruction, mode sans échec, prise en compte de plugins non standard), j’ai finalement remarqué un avertissement de contenu mixte et activé force_https, et tout fonctionne à nouveau.
Je pensais qu’il y a un ou deux ans, force_https était activé par défaut, mais récemment, j’ai entendu (ou peut-être vu) à plusieurs reprises que des problèmes survenaient parce que force_https n’était pas activé.
Y a-t-il une raison de ne pas l’activer par défaut ?
Le problème est que le test de validité du certificat échoue :
# openssl verify -CAfile ca.cer fullchain.cer
O = Digital Signature Trust Co., CN = DST Root CA X3
error 10 at 3 depth lookup: certificate has expired
error fullchain.cer: verification failed
Ensuite, si je retire mozilla/DST_Root_CA_X3.crt de /etc/ca-certificates.conf et que j’exécute update-ca-certificates, j’obtiens ceci :
C = US, O = Internet Security Research Group, CN = ISRG Root X1
error 2 at 2 depth lookup: unable to get issuer certificate
error fullchain.cer: verification failed
Le certificat s’affiche correctement dans le navigateur. Et j’ai reconstruit ce conteneur aujourd’hui (il devrait donc contenir les certificats racines mis à jour).
Je ne connais pas assez ce sujet pour savoir exactement ce qui se passe. Je peux curl un certificat Let’s Encrypt depuis l’intérieur du conteneur (un test qui échouait sur un conteneur WordPress avec lequel je travaillais la semaine dernière).
Et ce n’est pas seulement moi cette fois ; plusieurs personnes ont récemment résolu le problème en activant force_https (voir les discussions récentes).
OMG. Et j’ai passé deux jours à déboguer un problème que je croyais être une question complexe impliquant Rails, Ansible et Python, alors qu’en fait, mon serveur qui avait auparavant force_https activé ne l’a plus maintenant, et un grand nombre de requêtes ont été envoyées vers http://myserver au lieu de https://myserver.
La semaine dernière, nous déplaçions un forum vers un autre serveur et nous avons atteint la limite de réémission de Let’s Encrypt (maximum 5 par semaine pour le même nom d’hôte). Au début, nous ne savions pas pourquoi, mais ce bug a provoqué la réémission du certificat à chaque construction. Après cinq tentatives, nous avons atteint la limite de taux. Cela n’a pas déclenché d’alerte car l’ancien certificat était toujours présent sur le serveur.
Ce n’est que lors du déplacement du forum vers un nouveau serveur que nous n’avons pas obtenu de nouveau certificat. Nous aurions pu le copier depuis l’ancien serveur, mais nous n’avons jamais compris ce qui en était la cause.
Salut @Falco. Tu veux jeter un coup d’œil à ça ? Tu sembles bien connaître ces sujets. J’ai essayé de comprendre ça pendant plusieurs heures au cours des dernières semaines, mais je ne vois toujours pas ce qui se passe.
Ah, c’est la partie que j’avais manquée. Désolé de vous avoir dérangé alors.
Notre long week-end de vacances vient de se terminer, et la fête de Notre-Dame d’Aparecida n’était pas dans mon calendrier. Mais maintenant, je le sais.
