如何在 Mercurial / TortoiseHg 中完全禁用 SSL 证书检查？

Question

我正在寻找一种方法，让 --insecure 选项成为任何 hg \ TortoiseHg 命令的默认选项。

请不要写这是一种不好的做法 - 我知道可能存在的风险并认为它们是完全可以接受的。

Answer 1

如果您的目标是在推/拉期间消除证书指纹警告，那么有更好的方法来做到这一点。使用 .hg/hgrc（或 ~/.hgrc -- 参见 cmets）中的 [hostfingerprints]。

[hostfingerprints]
server.example.org = 38:76:52:7c:87:26:9a:8f:4a:f8:d3:de:08:45:3b:ea:d6:4b:ee:cc

这将消除警告而不消除安全检查。

注意：我从你的 cmets 看到另一个答案，你已经找到了这个解决方案。无论如何我都会发布这个，以防其他人有同样的问题。

Answer 2

将[web] 部分中的cacerts 设置为空字符串看起来是一样的。来自the source：

if cmdoptions.get('insecure', False):
    ui.setconfig('web', 'cacerts', '!', '--insecure')

the wiki confirms:

有时它可能是权宜之计 禁用安全检查，例如 与主机打交道时 自签名证书。这可以是 通过禁用 CA 证书完成 命令行配置：

hg push --config web.cacerts= https://self-signed-host/repo

因此，将cacerts=! 放在全局 hgrc 的 [web] 部分（类似 linux 的 /etc/mercurial/hgrc）将帮助您实现目标。

Answer 3

您可以使用aliases 来实现这一点。将此添加到您的 .hgrc ：

[alias]
push = push --insecure

问题是您必须为要使用的每个命令执行此操作，我建议您为别名使用与默认名称不同的名称。

据我所知，没有办法“自动”对所有命令强制执行 --insecure。

Answer 4

背景

正如Bruce Alderman's answer 中所指出的，使用--insecure 选项的一个很好的替代方法是简单地将主机指纹添加到~/.hgrc 文件中。 （由于安全风险，可能禁止将它们添加到.hg/hgrc。）但是[hostfingerprints] 部分已被弃用。

新说明

将以下内容添加到~/.hgrc：

[hostsecurity]
<host>:fingerprints=sha256:<hash>

其中<host> 应替换为主机名（不带https:// 前缀），<hash> 应替换为 SHA-256 指纹（32 字节，写为: 分隔的十六进制）。以下SHA-256 fingerprint command的输出

openssl s_client -connect <host>:<port> < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin

替换<host> 和<port> 后的形式为

SHA256 Fingerprint=<hash>

例如，对于从本地计算机运行的自签名证书，可能在~/.hgrc 中有一个条目，看起来像

[hostsecurity]
localhost:fingerprints=sha256:DD:30:5A:9B:2C:E1:59:7E:46:C4:42:D3:41:34:03:17:2A:CF:50:E8:DF:78:E6:2E:C9:42:D9:9A:C9:58:AC:52

Mercurial's page about secure connections. 上有更多文档