私は最近apt-getのhttpsについて知るためにWebで検索しましたが、読む限り、実際の必要性はありません。少なくとも多くの人が守るべきことです。 、 これは正しいですか?私はそれを正しくしましたか?また、そのように、それをサポートするサーバーの構成を介してhttpsを使用することを決定した場合、唯一の可能性のある欠点は速度です右ですか?
最後になりましたが、* buntuディストリビューションは、この主題について同じ安定化されたルールに依存していると思います。(つまり、すべての整合性がチェックされます)私の知る限り、すべてがubuntuサーバーを使用しているからです?
どうもありがとう、統合されたいくつかの質問があることを知っていますが、同じ情報を探しているかもしれない人々のために私とコミュニティにそれをすべて明確にすることができれば、とても感謝しています:)
回答:
多くのディストリビューションはサードパーティのミラーネットワークを使用しており、パッケージはさまざまな組織や個人によって実行される本質的に信頼できないサーバーでホストされています。トランスポート暗号化(TLS)はそれに対して保護できません。パッケージ署名のみを行います。パッケージリストと個々のパッケージは、通常PGPを使用して署名されます。
ただし、一部のディストリビューションのミラーは、(一部の)プライバシー保護など、さまざまな理由でHTTPSに徐々に移行しています。たとえば、Arch Linuxのミラーリストには26個のHTTPSサーバー(261個のうち10%)があり、2012年の0%を超えています。
しかし、DebianはHTTPSをまったくサポートしていないようです。これは奇妙なことです。最近、中央管理されたCDN構造に移行し、HTTPS設定をあらゆる場所に一度に展開できるようになったためです。ただし、サードパーティのリポジトリにはHTTPSを使用できますが、apt-transport-https最初にインストールする必要があります。
多くのサードパーティのリポジトリはHTTPではありません。パッケージは、公開GPGキーに対して既に検証されています。
ただし、NSAの啓示と繰り返しセキュリティ障害が発生すると、どこでも暗号化がベストプラクティスになります。
インストールするパッケージのリストは、NSAや犯罪者にとって有用でしょうか?NSAはすでに「tor」ユーザーをターゲットにしています-レポジトリから「tor」をダウンロードしたため、すべての通信を監視したいのですか?または、レポジトリから「ビットトレント」をダウンロードしたため、FBIがあなたの家に押し寄せましたか?