Edição: alterando isso para um bug. Force_https agora está desativado em sites onde antes estava ativado, o que quebra o funcionamento.
Gastei um tempo depurando um site onde “os uploads não funcionam”. Depois de passar por uma lista de coisas óbvias (reconstruir, modo seguro, considerar plugins não padrão), finalmente notei um aviso de conteúdo misto e ativei o force_https, e tudo voltou ao normal.
Eu achava que, em algum momento, há um ou dois anos, o force_https estava ativado por padrão, mas algumas vezes recentemente ouvi falar (ou talvez tenha visto) que as coisas estavam quebradas porque o force_https não estava ativado.
Existe algum motivo para não tê-lo ativado por padrão?
[/quote]
Gastei um tempo depurando um site onde “os uploads não funcionam”. Depois de passar por uma lista de coisas óbvias (reconstruir, modo seguro, considerar plugins não padrão), finalmente notei um aviso de conteúdo misto e ativei o force_https, e tudo voltou ao normal.
Eu achava que, em algum momento, há um ou dois anos, o force_https estava ativado por padrão, mas algumas vezes recentemente ouvi falar (ou talvez tenha visto) que as coisas estavam quebradas porque o force_https não estava ativado.
Existe algum motivo para não tê-lo ativado por padrão?
O problema é que o teste para um certificado válido está falhando:
# openssl verify -CAfile ca.cer fullchain.cer
O = Digital Signature Trust Co., CN = DST Root CA X3
error 10 at 3 depth lookup: certificate has expired
error fullchain.cer: verification failed
E então, se eu remover mozilla/DST_Root_CA_X3.crt de /etc/ca-certificates.conf e executar update-ca-certificates, recebo o seguinte:
C = US, O = Internet Security Research Group, CN = ISRG Root X1
error 2 at 2 depth lookup: unable to get issuer certificate
error fullchain.cer: verification failed
Ele aparece corretamente no navegador. E acabei de reconstruir esse container hoje (então deveria ter os certificados raiz atualizados).
Não sei o suficiente sobre certificados para entender exatamente o que está acontecendo. Consegui fazer curl em um certificado do Let’s Encrypt de dentro do container (um teste que estava falhando em um container WordPress com o qual trabalhei na semana passada).
OMG. E eu passei dois dias depurando um problema que achei ser algo intrincado envolvendo Rails, Ansible e Python, mas acabou sendo que meu servidor, que antes tinha o force_https ativado, agora não tem mais, e uma série de requisições foram feitas para http://meuserver em vez de https://meuserver.
Na semana passada, estávamos migrando um fórum para outro servidor e esbarramos no limite de reemissão do LetsEncrypt (máximo de 5 por semana para o mesmo hostname). No início, não sabíamos o motivo, mas esse bug fazia com que o certificado fosse reemitido a cada build e, após cinco tentativas, atingimos o limite de taxa. Isso não acionou nenhum alarme porque o certificado anterior ainda estava no servidor.
Até que movemos o fórum para um novo servidor. Então, não recebemos um certificado novo. Poderíamos copiá-lo do servidor antigo, mas nunca percebemos o que causou isso.
Ei @Falco. Você quer dar uma olhada nisso? Parece que você domina bem esses assuntos. Tenho mexido nisso há várias horas nas últimas uma ou duas semanas e ainda não entendo o que está acontecendo.
