Modifica: cambio questo in un bug. Force_https è ora disattivato sui siti dove prima era attivo, il che causa problemi.
Ho dedicato un po’ di tempo al debug di un sito dove “gli upload non funzionavano”. Dopo aver esaminato una serie di cose ovvie (ricostruzione, modalità sicura, considerare plugin non standard), ho finalmente notato un avviso di contenuto misto e ho attivato force_https, e ora tutto funziona di nuovo.
Pensavo che, un anno o due fa, force_https fosse attivo di default, ma recentemente ho sentito (o forse visto) più volte che le cose si rompevano perché force_https non era attivato.
C’è una ragione per non attivarlo di default?
[/quote]
Ho dedicato un po’ di tempo al debug di un sito dove “gli upload non funzionavano”. Dopo aver esaminato una serie di cose ovvie (ricostruzione, modalità sicura, considerare plugin non standard), ho finalmente notato un avviso di contenuto misto e ho attivato force_https, e ora tutto funziona di nuovo.
Pensavo che, un anno o due fa, force_https fosse attivo di default, ma recentemente ho sentito (o forse visto) più volte che le cose si rompevano perché force_https non era attivato.
Il problema è che il test per un certificato valido fallisce:
# openssl verify -CAfile ca.cer fullchain.cer
O = Digital Signature Trust Co., CN = DST Root CA X3
error 10 at 3 depth lookup: certificate has expired
error fullchain.cer: verification failed
E poi, se rimuovo mozilla/DST_Root_CA_X3.crt da /etc/ca-certificates.conf ed eseguo update-ca-certificates, ottengo questo:
C = US, O = Internet Security Research Group, CN = ISRG Root X1
error 2 at 2 depth lookup: unable to get issuer certificate
error fullchain.cer: verification failed
Nel browser viene visualizzato correttamente. E ho appena ricompilato questo contenitore oggi (quindi dovrebbe avere i certificati root aggiornati).
Non conosco abbastanza questa parte dei certificati per capire cosa stia succedendo. Posso usare curl per recuperare un certificato Let’s Encrypt dall’interno del contenitore (un test che falliva su un contenitore WordPress con cui stavo lavorando la settimana scorsa).
Oddio. E ho passato due giorni a debuggare un problema che pensavo fosse una questione complessa tra Rails, Ansible e Python, ma si è rivelato che il mio server, che in passato aveva force_https attivo, ora non lo ha più, e una serie di richieste sono state inviate a http://myserver invece che a https://myserver.
La settimana scorsa stavamo spostando un forum su un altro server e abbiamo raggiunto il limite di riemissione di Let’s Encrypt (massimo 5 a settimana per lo stesso hostname). All’inizio non sapevamo perché, ma questo bug ha causato il rilascio di un nuovo certificato ad ogni build e, dopo cinque tentativi, abbiamo raggiunto il limite di frequenza. Non abbiamo sollevato alcun allarme perché il certificato precedente era ancora presente sul server.
Finché non abbiamo spostato il forum su un nuovo server. A quel punto non abbiamo ottenuto un nuovo certificato. Avremmo potuto copiarlo dal vecchio server, ma non abbiamo mai capito cosa lo avesse causato.
Ehi @Falco. Vuoi dare un’occhiata a questo? Sembra che tu abbia molta esperienza in queste faccende. Ci ho lavorato per diverse ore nell’ultima settimana o due e ancora non capisco cosa stia succedendo.
