<div dir="ltr"><a href="http://hg.mozilla.org">http://hg.mozilla.org</a> now HTTP 301s to <a href="https://hg.mozilla.org/">https://hg.mozilla.org/</a>. Please report any problems against bug 450645 and/or make noise in #vcs on <a href="http://irc.mozilla.org">irc.mozilla.org</a>.<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 26, 2017 at 2:17 PM, Gregory Szorc <span dir="ltr"><<a href="mailto:gps@mozilla.com" target="_blank">gps@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>It may be surprising, but <a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a> is still accepting plain text connections via <a href="http://hg.mozilla.org/" target="_blank">http://hg.mozilla.org/</a> and isn't redirecting them to <a href="https://hg.mozilla.org/" target="_blank">https://hg.mozilla.org/</a>.<br><br></div>On February 1 likely around 0800 PST, all requests to <a href="http://hg.mozilla.org/" target="_blank">http://hg.mozilla.org/</a> will issue an HTTP 301 Moved Permanently redirect to <a href="https://hg.mozilla.org/" target="_blank">https://hg.mozilla.org/</a>.<br><br></div></div>If anything breaks as a result of this change, the general opinion is it deserves to break because it isn't using secure communications and is possibly a security vulnerability. Therefore, unless this change causes widespread carnage, it is unlikely to be rolled back.<br><br></div>Please note that a lot of 3rd parties query random content on <a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a>. For example, Curl's widespread <a href="http://mk-ca-bundle.pl" target="_blank">mk-ca-bundle.pl</a> script for bootstrapping the trusted CA bundle queried <a href="http://hg.mozilla.org/" target="_blank">http://hg.mozilla.org/</a> until recently [1]. So it is likely this change may break random things outside of Mozilla. Again, anything not using <a href="https://hg.mozilla.org/" target="_blank">https://hg.mozilla.org/</a> should probably be treated as a security vulnerability and fixed ASAP.<br><br>For legacy clients only supporting TLS 1.0 (this includes Python 2.6 and /usr/bin/python on all versions of OS X - see [2]), <a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a> still supports [marginally secure compared to TLS 1.1+] TLS 1.0 connections and will continue to do so for the foreseeable future.<br><div><br></div><div>This change is tracked in bug 450645. Please subscribe to stay in the loop regarding future changes, such as removing support for TLS 1.0 and not accepting plain text <a href="http://hg.mozilla.org/" target="_blank">http://hg.mozilla.org/</a> connections at all.<br><br></div><div>Please send comments to bug 450645 or reply to <a href="mailto:dev-version-control@lists.mozilla.org" target="_blank">dev-version-control@lists.<wbr>mozilla.org</a>.<br></div><div><br>[1] <a href="https://github.com/curl/curl/commit/1ad2bdcf110266c33eea70b895cb8c150eeac790" target="_blank">https://github.com/curl/curl/<wbr>commit/<wbr>1ad2bdcf110266c33eea70b895cb8c<wbr>150eeac790</a><br>[2] <a href="https://github.com/Homebrew/homebrew-core/issues/3541" target="_blank">https://github.com/Homebrew/<wbr>homebrew-core/issues/3541</a><br></div></div>
</blockquote></div><br></div></div></div>