Dengan semua ketakutan yang menyertai pengungkapan NSA, saya bertanya-tanya mengapa mekanisme instalasi paket Debian tidak mendukung HTTPS untuk transportasinya, apalagi menggunakannya secara default.
Saya tahu paket Debian memiliki semacam validasi tanda tangan menggunakan GPG, tapi tetap saja, saya tidak berpikir menggunakan transport HTTPS alih-alih HTTP akan terlalu sulit, mengingat betapa pentingnya hal ini dari segi keamanan.
Sunting:Saya kebanyakan ingin melindungi diri saya dari serangan MitM (termasuk hanya mengendus lalu lintas), bukan administrator mirror Debian. Repositori HTTP menempatkan seluruh sistem yang disiapkan di atas meja untuk siapa pun yang mengintip lalu lintas ke mirror Debian.
Jawaban yang Diterima:
Ada. Anda perlu menginstal paket apt-transport-https . Kemudian Anda dapat menggunakan garis seperti
deb https://some.server.com/debian stable main
di sources.list . Anda mengajukan. Tetapi biasanya itu tidak perlu, karena seluruh konten tetap bersifat publik dan menambahkan overhead enkripsi dan latensi. Karena Anda tidak mempercayai kunci publik penyerang, bahkan lalu lintas http aman dari serangan MitM. apt akan memperingatkan Anda dan gagal menginstal paket saat penyerang menyuntikkan paket yang dimanipulasi.
EDIT:Seperti yang disebutkan dalam komentar, memang lebih aman menggunakan repositori TLS. Penelitian menunjukkan bahwa menggunakan apt pada repositori yang tidak terenkripsi memang dapat menimbulkan risiko keamanan karena transport HTTP rentan terhadap serangan replay.