Фон
Как указано в ответе Брюса Олдермана , хорошей альтернативой использованию опции --insecure
является простое добавление отпечатков хоста в файл ~/.hgrc
. (Предположительно запрещено добавлять их в .hg/hgrc
из-за угроз безопасности.) Однако раздел [hostfingerprints]
устарел.
Новые инструкции
Добавить следующее к ~/.hgrc
:
[hostsecurity]
<host>:fingerprints=sha256:<hash>
, где <host>
должен быть заменен именем хоста (без префикса https://
), а <hash>
должен быть заменен отпечатком SHA-256 (32 байта, записанных как шестнадцатеричный код с разделением :
). Вывод следующей команды SHA-256 по отпечатку пальца
openssl s_client -connect <host>:<port> < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin
после замены <host>
и <port>
имеет форму
SHA256 Fingerprint=<hash>
Например, для самозаверяющего сертификата, запущенного с локального компьютера, в ~/.hgrc
может быть запись, которая выглядит как
[hostsecurity]
localhost:fingerprints=sha256:DD:30:5A:9B:2C:E1:59:7E:46:C4:42:D3:41:34:03:17:2A:CF:50:E8:DF:78:E6:2E:C9:42:D9:9A:C9:58:AC:52
На странице Mercurial есть информация о безопасных соединениях.