Deploy: HTTP/3 (QUIC) in Caddy deaktiviert

Manche Security-Suites (AVG Webschutz) zerlegen QUIC → ERR_QUIC_PROTOCOL_ERROR
bei betroffenen Kunden. Caddy global auf `servers { protocols h1 h2 }` (nur
HTTP/1.1 + HTTP/2 über TCP), kein alt-svc h3 mehr. Caddy-Server bekommt
ignore_changes=[user_data] (Caddyfile-Änderung per reload, kein Recreate).
Live-Caddy bereits nachgezogen (Caddyfile in-place + caddy reload).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

deploy/terraform/cloud-init-caddy.yaml.tftpl

@@ -6,6 +6,11 @@ write_files:
     content: |
       {
         email ${acme_email}
+        # HTTP/3 (QUIC) deaktiviert: manche Security-Suites (z. B. AVG Webschutz)
+        # zerlegen QUIC → ERR_QUIC_PROTOCOL_ERROR. Nur HTTP/1.1 + HTTP/2 über TCP.
+        servers {
+          protocols h1 h2
+        }
         on_demand_tls {
           # Caddy fragt die App, ob es für die Domain ein Zertifikat ausstellen darf
           ask http://${ask_upstream}/internal/tls-allowed

deploy/terraform/main.tf

@@ -176,5 +176,11 @@ resource "hcloud_server" "caddy" {
     ip         = local.caddy_private_ip
   }
 
+  # Caddyfile-Änderungen werden auf dem laufenden Node aktualisiert (caddy reload),
+  # nicht durch Server-Neuerstellung (sonst neue IP → DNS).
+  lifecycle {
+    ignore_changes = [user_data]
+  }
+
   depends_on = [hcloud_network_subnet.subnet, hcloud_server.app]
 }