为什么 aarch64 上使用纯文本 http“http://ports.ubuntu.com/ubuntu-ports”?

为什么 aarch64 上使用纯文本 http“http://ports.ubuntu.com/ubuntu-ports”?

我在 Raspberry 上安装了最新的 Ubuntu。在过程中,apt update我很惊讶地发现通信没有加密。

为什么http://ports.ubuntu.com/ubuntu-ports使用而不是https://ports.ubuntu.com/ubuntu-ports?这仍然是最新的吗?

# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=21.10
DISTRIB_CODENAME=impish
DISTRIB_DESCRIPTION="Ubuntu 21.10"

# uname -a
Linux b96eebccc368 5.13.0-1022-raspi #24-Ubuntu SMP PREEMPT Wed Mar 16 07:19:33 UTC 2022 aarch64 aarch64 aarch64 GNU/Linux

# apt update && apt --with-new-pkgs upgrade -y
Hit:1 http://ports.ubuntu.com/ubuntu-ports impish InRelease
Get:2 http://ports.ubuntu.com/ubuntu-ports impish-updates InRelease [115 kB]
Get:3 http://ports.ubuntu.com/ubuntu-ports impish-backports InRelease [101 kB]
Hit:4 https://repo.jellyfin.org/ubuntu impish InRelease
Get:5 http://ports.ubuntu.com/ubuntu-ports impish-security InRelease [110 kB]
Get:6 http://ports.ubuntu.com/ubuntu-ports impish-updates/main arm64 Packages [308 kB]
Get:7 http://ports.ubuntu.com/ubuntu-ports impish-updates/main Translation-en [85.1 kB]
Get:8 http://ports.ubuntu.com/ubuntu-ports impish-updates/main arm64 c-n-f Metadata [5544 B]
Get:9 http://ports.ubuntu.com/ubuntu-ports impish-updates/universe arm64 Packages [166 kB]
Get:10 http://ports.ubuntu.com/ubuntu-ports impish-updates/universe arm64 c-n-f Metadata [4976 B]
Get:11 http://ports.ubuntu.com/ubuntu-ports impish-security/main arm64 Packages [249 kB]
Get:12 http://ports.ubuntu.com/ubuntu-ports impish-security/main Translation-en [67.5 kB]
Get:13 http://ports.ubuntu.com/ubuntu-ports impish-security/main arm64 c-n-f Metadata [4012 B]
Get:14 http://ports.ubuntu.com/ubuntu-ports impish-security/universe arm64 Packages [130 kB]
Get:15 http://ports.ubuntu.com/ubuntu-ports impish-security/universe arm64 c-n-f Metadata [4168 B]
Fetched 1350 kB in 4s (358 kB/s)

答案1

HTTP是的,仍然使用默认存储库HTTPS- 这适用于所有平台。

基本上,这是有历史原因的,因为软件包是经过签名和加盖时间戳的,在这种情况下,对下载进行加密不会增加太多的安全性。

然而,此问答HTTPS提出了一些观点,表明在未来这确实是个好主意。

答案2

使用 https 时不会增加额外的安全性,因此没有必要。https 唯一能防止的是中间人知道你下载了什么。

篡改软件包会导致 apt 拒绝安装:所有软件包都有时间戳。任何与时间戳不匹配的软件包都会被标记为“过时”,系统不会自动安装。

  • 我们可以信任 Release 文件,因为它是由 Ubuntu 签名的。
  • 我们可以信任 Packages 文件,因为它具有在 Release 文件中发现的正确大小和校验和。
  • 我们可以信任下载的包,因为它在 Packages 文件中被引用,而该文件又在 Release 文件中被引用,该文件由 Ubuntu 签名。

还有另外一件事:完全切换到 https 意味着所有镜像都需要切换到它。这将是一项非常困难且风险很大的改变。

相关内容