psc/vcard4reseller
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Deploy: HTTP/3 (QUIC) in Caddy deaktiviert

Browse Source 
Manche Security-Suites (AVG Webschutz) zerlegen QUIC → ERR_QUIC_PROTOCOL_ERROR
bei betroffenen Kunden. Caddy global auf `servers { protocols h1 h2 }` (nur
HTTP/1.1 + HTTP/2 über TCP), kein alt-svc h3 mehr. Caddy-Server bekommt
ignore_changes=[user_data] (Caddyfile-Änderung per reload, kein Recreate).
Live-Caddy bereits nachgezogen (Caddyfile in-place + caddy reload).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
Thomas Peterson 2026-06-08 10:00:18 +02:00
parent 9bd8b45588
commit cc33040b4b
2 changed files with 11 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

5
deploy/terraform/cloud-init-caddy.yaml.tftpl
View File

@ -6,6 +6,11 @@ write_files:
content: | content: |
{ {
email ${acme_email} email ${acme_email}
# HTTP/3 (QUIC) deaktiviert: manche Security-Suites (z. B. AVG Webschutz)
# zerlegen QUIC → ERR_QUIC_PROTOCOL_ERROR. Nur HTTP/1.1 + HTTP/2 über TCP.
servers {
protocols h1 h2
}
on_demand_tls { on_demand_tls {
# Caddy fragt die App, ob es für die Domain ein Zertifikat ausstellen darf # Caddy fragt die App, ob es für die Domain ein Zertifikat ausstellen darf
ask http://${ask_upstream}/internal/tls-allowed ask http://${ask_upstream}/internal/tls-allowed

6
deploy/terraform/main.tf
View File

@ -176,5 +176,11 @@ resource "hcloud_server" "caddy" {
ip = local.caddy_private_ip ip = local.caddy_private_ip
} }
# Caddyfile-Änderungen werden auf dem laufenden Node aktualisiert (caddy reload),
# nicht durch Server-Neuerstellung (sonst neue IP DNS).
lifecycle {
ignore_changes = [user_data]
}
depends_on = [hcloud_network_subnet.subnet, hcloud_server.app] depends_on = [hcloud_network_subnet.subnet, hcloud_server.app]
} }