<div dir="ltr"><div><div><div><div>It may be surprising, but <a href="http://hg.mozilla.org">hg.mozilla.org</a> is still accepting plain text connections via <a href="http://hg.mozilla.org/">http://hg.mozilla.org/</a> and isn't redirecting them to <a href="https://hg.mozilla.org/">https://hg.mozilla.org/</a>.<br><br></div>On February 1 likely around 0800 PST, all requests to <a href="http://hg.mozilla.org/">http://hg.mozilla.org/</a> will issue an HTTP 301 Moved Permanently redirect to <a href="https://hg.mozilla.org/">https://hg.mozilla.org/</a>.<br><br></div></div>If anything breaks as a result of this change, the general opinion is it deserves to break because it isn't using secure communications and is possibly a security vulnerability. Therefore, unless this change causes widespread carnage, it is unlikely to be rolled back.<br><br></div>Please note that a lot of 3rd parties query random content on <a href="http://hg.mozilla.org">hg.mozilla.org</a>. For example, Curl's widespread <a href="http://mk-ca-bundle.pl">mk-ca-bundle.pl</a> script for bootstrapping the trusted CA bundle queried <a href="http://hg.mozilla.org/">http://hg.mozilla.org/</a> until recently [1]. So it is likely this change may break random things outside of Mozilla. Again, anything not using <a href="https://hg.mozilla.org/">https://hg.mozilla.org/</a> should probably be treated as a security vulnerability and fixed ASAP.<br><br>For legacy clients only supporting TLS 1.0 (this includes Python 2.6 and /usr/bin/python on all versions of OS X - see [2]), <a href="http://hg.mozilla.org">hg.mozilla.org</a> still supports [marginally secure compared to TLS 1.1+] TLS 1.0 connections and will continue to do so for the foreseeable future.<br><div><br></div><div>This change is tracked in bug 450645. Please subscribe to stay in the loop regarding future changes, such as removing support for TLS 1.0 and not accepting plain text <a href="http://hg.mozilla.org/">http://hg.mozilla.org/</a> connections at all.<br><br></div><div>Please send comments to bug 450645 or reply to <a href="mailto:dev-version-control@lists.mozilla.org">dev-version-control@lists.mozilla.org</a>.<br></div><div><br>[1] <a href="https://github.com/curl/curl/commit/1ad2bdcf110266c33eea70b895cb8c150eeac790">https://github.com/curl/curl/commit/1ad2bdcf110266c33eea70b895cb8c150eeac790</a><br>[2] <a href="https://github.com/Homebrew/homebrew-core/issues/3541">https://github.com/Homebrew/homebrew-core/issues/3541</a><br></div></div>