あなたの仮定は間違っています:HTTPSダウンロードを使用できます。それをサポートするミラーを見つけ、そのURLをソースのリストに入れるだけです。apt-transport-https
パッケージをインストールする必要があります。
Debianは、メリットがほとんどないため、HTTPSのダウンロードを簡単にしません。Debianパッケージ配布には、パッケージを検証するメカニズムがすでに含まれています。すべてのパッケージはGpgで署名されています。アクティブな中間者が破損したパッケージを使用してサーバーにトラフィックをリダイレクトする場合、GPG署名が有効ではないため、破損が検出されます。HTTPSの代わりにGPGを使用すると、エンドユーザー接続でのアクティブな中間者だけでなく、不正または感染したミラー、またはパッケージ配布チェーン内のその他の問題に対しても、より多くの脅威から保護するという利点があります。 。
HTTPSは、ダウンロードするパッケージを不明瞭にするという点で、わずかなプライバシー上の利点を提供します。ただし、パッシブオブザーバーはコンピューターとパッケージサーバー間のトラフィックを検出できるため、Debianパッケージをダウンロードしていることがわかります。また、ダウンロードしているパッケージをファイルサイズから把握することもできます。
HTTPSが役立つ1つの場所は、既知の有効なインストールイメージを取得するための信頼のブートストラップです。Debianはそれを提供していないようです:インストールメディアのチェックサムがありますが、HTTP経由のみです。