我最近在网上搜索了有关 apt-get 的 https 的信息,据我所知,它实际上没有必要,至少很多人都是这么认为的,因为它总是会自动检查完整性,对吗?我说得对吗?此外,既然如此,在决定通过配置支持 https 的服务器来使用 https 的情况下,唯一可能的缺点就是速度,对吗?
最后但并非最不重要的一点是,我猜任何 *buntu 发行版都依赖于针对此主题既定的相同规则,对吗?(也就是说,所有内容都将进行完整性检查)因为据我所知,它们都使用 ubuntu 服务器,对吗?
非常感谢,我知道其中有一些疑问,但是如果你能向我和社区中可能正在寻找相同信息的人澄清所有问题,我将不胜感激:)
答案1
许多发行版使用第三方镜像网络,软件包托管在由各种组织和个人运营的基本上不受信任的服务器上,这意味着任何镜像的操作员都可以在技术上替换他们想要的任何文件。传输加密 (TLS) 无法防止这种情况发生;只有软件包签名可以。软件包列表和单个软件包通常使用 PGP 签名。
尽管如此,一些发行版的镜像是由于各种原因,包括(部分)隐私保护,正在慢慢转向 HTTPS。例如,Arch Linux 镜像列表有 26 个 HTTPS 服务器(占 261 个中的 10%),这已经超过了 2012 年的 0%。
然而,Debian 似乎根本不支持 HTTPS——这很奇怪,因为据我所知,它们最近都转移到了集中管理的 CDN 结构,并且可以同时在任何地方部署 HTTPS 配置。不过,您可以将 HTTPS 用于某些第三方存储库,但您需要apt-transport-https先安装。
答案2
许多第三方存储库不是 HTTP。软件包已根据公共 GPG 密钥进行了验证。
然而,在美国国家安全局曝光并屡屡出现安全故障之后,加密无处不在,正成为最佳实践。
您安装的软件包列表对 NSA 或犯罪分子有用吗?NSA 已经瞄准了“tor”用户 - 您真的希望因为您从 repo 下载了“tor”而监控您的所有通信吗?或者因为您从 repo 下载了“bittorrent”,FBI 会破门而入吗?