
<div dir="ltr"><div>We also changed the SSH server config to only support the "modern" set of ciphers, MACs, algorithms, etc from <a href="https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern">https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern</a>. If you are running an old SSH client, it may not be able to connect.<br><br></div>If you encounter problems connecting, complain in #vcs with a link to pastebinned `ssh -v` output so we can see what your client supports so we may consider adding legacy support on the server as a stop-gap. But upgrading your SSH client to something that supports modern crypto is highly preferred. More and more Mozilla systems will be adopting these "modern" SSH server settings. So you'll have to upgrade sometime.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 4, 2016 at 8:36 AM, Gregory Szorc <span dir="ltr"><<a href="mailto:gps@mozilla.com" target="_blank">gps@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">This change was just made (we delayed because we didn't want to take<br>

extra risks on a Friday afternoon).<br>

<br>

A GPG signed document detailing the current keys is available at<br>

<a href="https://hg.mozilla.org/hgcustom/version-control-tools/raw-file/tip/docs/vcs-server-info.asc" rel="noreferrer" target="_blank">https://hg.mozilla.org/hgcustom/version-control-tools/raw-file/tip/docs/vcs-server-info.asc</a><br>

<div class="HOEnZb"><div class="h5"><br>

On 3/31/16 2:39 PM, Gregory Szorc wrote:<br>

> This message serves as a notice that the *SSH host keys* for<br>

> <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> will be rotated in the next ~24 hours.<br>

><br>

> When connecting to <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> over SSH, your SSH client should warn<br>

> that host keys have changed and refuse to connect until<br>

> accepting/trusting the new host key. After 1st host key verification<br>

> failure:<br>

><br>

> 1) `ssh-keygen -R <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>` to remove the old host key<br>

> 2) `ssh <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>` and verify the fingerprint of the new key<br>

> matches one of the following:<br>

><br>

> 256 SHA256:7MBAdqLe8+aSYkv+5/2LUUxd+WdgYcVSV+ZQVEKA7jA <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> (ED25519)<br>

> 256 SHA1:Ft++OU96cvaREKNFCJ6AiuCpGac <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> (ED25519)<br>

> 256 MD5:96:eb:3b:78:f5:ca:19:e2:0c:a0:95:ea:04:28:7d:26 <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> (ED25519)<br>

><br>

> 4096 SHA256:RX2OK8A1KNWdxyu6ibIPeEGLBzc5vyQW/wd7RKjBehc <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> (RSA)<br>

> 4096 SHA1:p2MGe4wSw8ZnQ5J9ShBk/6VA+Co <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> (RSA)<br>

> 4096 MD5:1c:f9:cf:76:de:b8:46:d6:5a:a3:00:8d:3b:0c:53:77 <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> (RSA)<br>

><br>

> Q: What host key types were changed? We dropped the DSA host key and<br>

> added a ED25519 host key. The length of the RSA key has been increased<br>

> from 2048 to 4096 bits.<br>

><br>

> Q: Does this impact connections to <a href="https://hg.mozilla.org/" rel="noreferrer" target="_blank">https://hg.mozilla.org/</a>? No. The x509<br>

> certificate to the https:// endpoint is remaining unchanged at this time.<br>

><br>

> Q: Why is this being done? We are modernizing the server infrastructure<br>

> of <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>. As part of this, we're bringing the hosts in<br>

> compliance with Mozilla's SSH security guidelines<br>

> (<a href="https://wiki.mozilla.org/Security/Guidelines/OpenSSH" rel="noreferrer" target="_blank">https://wiki.mozilla.org/Security/Guidelines/OpenSSH</a>).<br>

><br>

<br>

</div></div></blockquote></div><br></div>