Con tutta la paranoia che è arrivata con le rivelazioni della NSA, mi chiedo perché il meccanismo di installazione del pacchetto Debian non supporta HTTPS per il suo trasporto, per non parlare di usarne uno per impostazione predefinita.
So che i pacchetti Debian hanno una sorta di convalida della firma usando GPG, ma comunque, non credo che usare il trasporto HTTPS invece di HTTP sarebbe troppo difficile, considerando quanto sia cruciale dal punto di vista della sicurezza.
Modifica:voglio principalmente proteggermi dagli attacchi MitM (incluso solo lo sniffing del traffico), non dagli amministratori di mirror Debian. I repository HTTP mettono in gioco l'intero sistema per chiunque possa spiare il traffico verso i mirror Debian.
Risposta accettata:
C'è. Devi installare il pacchetto apt-transport-https . Quindi puoi usare linee come
deb https://some.server.com/debian stable main
nel tuo sources.list file. Ma di solito non è necessario, dal momento che l'intero contenuto è comunque pubblico e aggiunge sovraccarico di crittografia e latenza. Dal momento che non ti fidi di una chiave pubblica di un utente malintenzionato, anche il traffico http è al sicuro dagli attacchi MitM. apt ti avviserà e non installerà i pacchetti quando un utente malintenzionato inserisce pacchetti manipolati.
EDIT:come accennato nei commenti, è davvero più sicuro utilizzare il repository TLS. La ricerca mostra che l'utilizzo di apt su repository non crittografati può effettivamente rappresentare un rischio per la sicurezza poiché il trasporto HTTP è vulnerabile agli attacchi di replica.