🔐☢️ Как-то прошла незаметно новость о том, что github.com поменял свой RSA SSH ключ: github.blog/2023-03…host-key 👉 24 марта 2023 года около 05:00 UTC GitHub на всякий случай сменил RSA SSH ключ. Смена ключа произошла в результате обнаружения утечки секретного ключа в публичный git-репозиторий. ECDSA и ED25519 ключи не затронуты. ☝️ Вкратце. SSH ключ, о котором идёт речь, это SSH ключ самого сервера github.com. Когда пользователь сервиса хочет по SSH обратиться к репозиторию на github'е. это как бы тот ключ, который использует сервер. Если следовать всем правилам, надо получить слепок этого ключа доверенным способом и всегда сравнивать его. Обычно же, клиенты SSH предлагают сохранить его при первом соединении и так все и делают. Однако, даже такое «халявное» удостоверение хоста в большинстве случаев позволяет предотвратить атаку «мужик посерёдке» (MitM). Потому что слепок сохранён и если ключ вдруг на хосте поменяется, это вызовет ошибку при попытке нового соединения. 🙀 Как вы уже догадались, это должно было поломать кучу автоматики, пайплайнов CI/CD и так далее. Однако: • Огромный срез параноиков не пользуется github. Не, некоторые и в пещерах живут, и это не плохо. • Кто-то всё-таки живёт в 2023 году и использует ECDSA/ED25519 • Многие используют в CI/CD https. Несмотря на отсутствие такого у самого git, есть множество устоявшихся практик git over https. В том числе «проталкиваемых» самим github'ом • Неимоверно много в скриптах -o StrictHostKeyChecking=no — игнорирование сравнения слепка ключа с запомненным. Какой дали, с тем и работаем. • Админы утром проснулись, увидели поломанную автоматику, увидели что-то про хосткей в новостях, не глядя приняли новый ключ (мой случай) и пошли пить утренний кофе. ❌🫵 А у тебя сломался пайплайн? А сразу? А точно между тем как сломался и как работал, он работал с нужным ключом? На этой радостной ноте пожелаю всем labos nakties, как говорят тут. ⚡️ Новый ключ, чтобы не искать SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s