feat : bake la CA racine MALIO pour joindre GlitchTip HTTPS via Tailscale (Option A)

GlitchTip est servi en HTTPS sur logs.malio-dev.fr (cert auto-signé interne).
Le SDK backend (sur le VPS OVH) le joint via Tailscale en gardant le DSN
hostname inchangé : la CA publique est installée dans le trust store de
l'image prod, et le hostname est résolu vers l'IP tailnet via extra_hosts
côté serveur (documenté). Aucun changement côté GlitchTip.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

deploy/docker/Dockerfile.prod

@@ -39,10 +39,17 @@ FROM php:8.4-fpm AS production
 
 RUN apt-get update && apt-get install -y \
         libicu-dev libpq-dev libpng-dev libzip-dev libxml2-dev \
-        nginx supervisor \
+        nginx supervisor ca-certificates \
     && docker-php-ext-install -j$(nproc) intl pdo_pgsql zip gd opcache \
     && rm -rf /var/lib/apt/lists/*
 
+# CA racine interne MALIO (auto-signée) — permet au SDK Sentry/HttpClient de joindre
+# GlitchTip en HTTPS sur logs.malio-dev.fr (cert *.malio-dev.fr). Le host est résolu vers
+# l'IP tailnet via `extra_hosts` dans le docker-compose du serveur (cf. doc/error-tracking.md).
+# Sans cette CA approuvée, le SDK logue « Message not sent » et rien ne remonte.
+COPY deploy/docker/malio-dev-root-ca.crt /usr/local/share/ca-certificates/malio-dev-root-ca.crt
+RUN update-ca-certificates
+
 # PHP production config
 RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"
 COPY docker/php/config/php.ini "$PHP_INI_DIR/conf.d/99-app.ini"