Thema: Debian schließt FTP-Server
Warum dann nicht gleich auf HTTPS?
Soweit ich es verstanden habe, ist es unnötig, weil die Pakete eh schon mit Schlüsseln signiert sind. Apt sagt dann, ob das Repo vertraulich ist.
Es gibt aber Spiegelserver, die das trotzdem machen:
You need to install the package apt-transport-https. Then you can use lines like
deb https://some.server.com/debian stable main
in your sources.list file. But usually that's not necessary, since the entire content is public anyway and it adds encryption overhead and latency. Since you don't trust an attackers public key, even http traffic is safe from MitM attacks. apt will warn you and fail to install the packages when an attacker injects manipulated packages.
EDIT: As mentioned in the comments it is indeed more secure to use the TLS repository. Research shows that using apt on unencrypted repositories can indeed pose a security risk as the HTTP transport is vulnerable to replay attacks.
Quelle
Fände ich allein aus Prinzip auch gut. Alles verschlüsseln, was geht.
Mittels https könnte man verschleiern, das jemand sich Pakete herunterlädt (wobei das vielleicht über die Datenmenge auch ersichtlich ist), und vor allen Dingen WELCHE Pakete geladen werden.Die Integrität der Pakete ist durch Checksummen auch bei http sichergestellt, in der Hinsicht ist https kein Vorteil.
Ob der Privacy-Gewinn in der Praxis den Aufwand für https wert ist, keine Ahnung.
Ich weiß, das aber auch andere Distributionen ihre Repositories per http anbieten.
