fix(observability) : trust la CA interne MALIO pour l'ingest GlitchTip (TLS)

logs.malio-dev.fr utilise un certificat signé par la CA auto-signée
"MALIO-DEV Local Root CA", inconnue du container -> le SDK Sentry échouait en
TLS ("Message not sent"). On installe la CA racine (publique) dans le trust
store de l'image (ca-certificates + update-ca-certificates), ce qui débloque
aussi tout futur appel HTTPS interne.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

infra/prod/Dockerfile

@@ -56,10 +56,15 @@ FROM php:8.4-fpm AS production
 
 RUN apt-get update && apt-get install -y \
         libicu-dev libpq-dev libpng-dev libzip-dev libxml2-dev \
-        nginx supervisor smbclient \
+        nginx supervisor smbclient ca-certificates \
     && docker-php-ext-install -j$(nproc) intl pdo_pgsql zip gd opcache \
     && rm -rf /var/lib/apt/lists/*
 
+# CA racine interne MALIO (auto-signée) — permet au SDK Sentry/HttpClient de
+# joindre les services HTTPS internes (ex. GlitchTip sur logs.malio-dev.fr).
+COPY infra/prod/malio-dev-root-ca.crt /usr/local/share/ca-certificates/malio-dev-root-ca.crt
+RUN update-ca-certificates
+
 # PHP production config
 RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"