<div dir="ltr"><div><div><div><span style="font-family:arial,helvetica,sans-serif">The certificate has been flipped.<br><br></span></div><span style="font-family:arial,helvetica,sans-serif">New hashes are:<br><br>sha1:73:7f:ef:ab:68:0f:49:3f:88:91:f0:b7:06:69:fd:8f:f2:55:c9:56<br>sha256:8e:ad:f7:6a:eb:44:06:15:ed:f3:e4:69:a6:64:60:37:2d:ff:98:88:37:bf:d7:b8:40:84:01:48:9c:26:ce:d9<br><br></span></div><span style="font-family:arial,helvetica,sans-serif">You can pin these in your hgrc via:<br><br></span></div><span style="font-family:arial,helvetica,sans-serif"># Mercurial 3.9+<br></span><pre class="gmail-comment-text" id="gmail-ct-12"><span style="font-family:arial,helvetica,sans-serif">[hostsecurity]
hg.mozilla.org:fingerprints = sha256:8e:ad:f7:6a:eb:44:06:15:ed:f3:e4:69:a6:64:60:37:2d:ff:98:88:37:bf:d7:b8:40:84:01:48:9c:26:ce:d9</span></pre><div><div><span style="font-family:arial,helvetica,sans-serif"></span></div><div><span style="font-family:arial,helvetica,sans-serif"># Mercurial <= 3.8<br></span><pre class="gmail-comment-text" id="gmail-ct-12"><span style="font-family:arial,helvetica,sans-serif">[hostfingerprints]
<a href="http://hg.mozilla.org">hg.mozilla.org</a> = 73:7f:ef:ab:68:0f:49:3f:88:91:f0:b7:06:69:fd:8f:f2:55:c9:56</span></pre></div><div><span style="font-family:arial,helvetica,sans-serif">Please make noise in #vcs or #releng if you see breakage.<br></span></div><div><span style="font-family:arial,helvetica,sans-serif"><br></span></div></div><div class="gmail_extra"><span style="font-family:arial,helvetica,sans-serif"><br></span><div class="gmail_quote"><span style="font-family:arial,helvetica,sans-serif">On Thu, Sep 22, 2016 at 1:57 PM, Gregory Szorc <span dir="ltr"><<a href="mailto:gps@mozilla.com" target="_blank">gps@mozilla.com</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><span style="font-family:arial,helvetica,sans-serif"><a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a>'s x509 server certificate (AKA an "SSL certificate") expires next week.<br><br></span></div><span style="font-family:arial,helvetica,sans-serif">A new certificate has already been issued and it is scheduled to be swapped in around 2016-09-26T17:00Z (Monday September 26 10:00 PDT). The transition may be delayed to avoid downtime in automation, which hasn't fully prepared for the change yet.<br><br></span></div><div><span style="font-family:arial,helvetica,sans-serif">The only major change to the certificate is it is using SHA-256 for signatures. This is known to not work with ancient software (such as Windows XP SP2). We don't anticipate any major problems with this, however.<br></span></div><div><span style="font-family:arial,helvetica,sans-serif"><br></span></div><span style="font-family:arial,helvetica,sans-serif">If you pin the host fingerprint in your Mercurial config file, you'll need to install a new fingerprint or Mercurial will refuse to connect once the certificate is swapped. The fingerprint of the new certificate and Mercurial config snippets for configuring it are available at <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=1147548#c12" target="_blank">https://bugzilla.mozilla.org/<wbr>show_bug.cgi?id=1147548#c12</a>.<br><br></span></div><span style="font-family:arial,helvetica,sans-serif">It's worth noting that Mercurial 3.8+ supports pinning multiple fingerprints per host. So, if you install the new fingerprint today, you don't need to take action when the server certificate is swapped next week.<br><br></span></div><span style="font-family:arial,helvetica,sans-serif">If you notice any problems after the cert change, please make noise in #vcs on IRC.<br></span></div>
</blockquote></div><span style="font-family:arial,helvetica,sans-serif"><br></span></div></div>