Renovació de les claus SSH de molts servidors

Durant els propers dies procedirem a la renovació de les claus SSH de molts servidors. Les claus SSH identifiquen un servidor, i per tant són les que permeten al vostre client SSH verificar que el servidor al qual s'està connectant és realment el que espera que sigui.

Les claus que renovarem són les de tipus RSA de mida inferior a 3072 bits, les quals actualment són considerades com potencialment vulnerables. No renovarem les claus d'altres tipus que usem (ECDSA i ED25519), les quals ja són de la mida recomanada per a ser considerades segures.

Aquests són alguns dels servidors afectats:

• boada (cluster de docència)
• sert (cluster de recerca)
• gw (accés a la xarxa interna)
• fonoll i pericas (per usar FrameMaker amb X11)
• i altres servidors d'ús específic

La majoria de servidors són prou moderns i ofereixen tots els tipus de claus disponibles per a ser identificats (RSA, ECDSA i ED25519), per tant, si la vostra estació de treball és també prou moderna usarà una clau diferent de la RSA (que és la més senzilla) per identificar el servidor i no notareu absolutament res.

En canvi, si la vostra estació de treball té un sistema operatiu obsolet o un client de SSH obsolet que usi claus RSA per identificar els servidors, o bé si us connecteu a un servidor obsolet (p.ex: fonoll i pericas, els quals només usen claus RSA) llavors obtindreu un missatge d'avís molt notori indicant que la clau SSH del servidor ha canviat. El propi missatge us indica oportunament com eliminar la clau SSH obsoleta de la vostra estació de treball si ho desitgeu i així evitar que us torni a sortir aquest missatge.