A Mozilla acaba de lançar uma nova ferramenta para verificar a configuração do seu site. observatory.mozilla.org
Mas a verificação está reclamando de cookies (-10 pontos): cookie de sessão definido sem o sinalizador Seguro ...
Infelizmente, o serviço executado atrás do meu nginx só pode definir o cabeçalho seguro se o SSL terminar lá diretamente e não quando o SSL terminar no nginx. Portanto, o sinalizador "Seguro" não está definido nos cookies.
É possível anexar o sinalizador "seguro" aos cookies de alguma forma usando o nginx? Modificar a localização / caminho parece ser possível.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path