为什么 Ubuntu pkg repos 没有 SSL 加密?

为什么 Ubuntu pkg repos 没有 SSL 加密?

默认情况下,它们都archive.ubuntu.com没有*.archive.ubuntu.comSSL 加密。这很危险,也很可怕,尤其是对于公共服务器,因为黑客可以伪装成公共服务器archive.ubuntu.com并发送带有病毒的 deb。那么,为什么呢?我可以通过 SSL 连接到它吗?

答案1

APT 是一种安全打包解决方案,其中软件包使用只有 Ubuntu 知道的密钥进行签名,并且 APT 使用您系统上的 APT 密钥环中的公钥来验证密钥。这有效地提供了端到端的保证,确保软件包未被 Ubuntu 以外的任何人修改,无论您是从官方 Ubuntu 服务器还是某个镜像中获取的。

Ubuntu 的存储库系统(作为 Debian 的一部分)的构建方式是,您不必信任所使用的镜像,只是他们没有修改软件包,因为它是由发行版内部签名的。这使得存储库分散,任何志愿者都可以设置镜像。

因此,例如,您可以使用 example.com 作为镜像 - 如果您使用 HTTPS 并验证您确实在与 example.com 通信,它不会告诉您任何有用的信息,例如该镜像是否得到了您的发行版 (Ubuntu) 的批准,或者该镜像是否在从 Ubuntu 获取软件包后对其进行了修改以添加病毒,它只是告诉您您正在与 example.com 通信。但 APT 的内置签名验证确实提供了这些保证。

APT 确实可以通过 HTTPS 工作,并且您可以在 APT 源条目中使用 HTTPS 为您的连接应用另一级别的保证(如果您使用的存储库支持它)。

相关内容