我在 Raspberry 上安装了最新的 Ubuntu。在一次apt update我很惊讶通信没有加密。
为什么http://ports.ubuntu.com/ubuntu-ports使用而不使用https://ports.ubuntu.com/ubuntu-ports?这仍然是最新的吗?
# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=21.10
DISTRIB_CODENAME=impish
DISTRIB_DESCRIPTION="Ubuntu 21.10"
# uname -a
Linux b96eebccc368 5.13.0-1022-raspi #24-Ubuntu SMP PREEMPT Wed Mar 16 07:19:33 UTC 2022 aarch64 aarch64 aarch64 GNU/Linux
# apt update && apt --with-new-pkgs upgrade -y
Hit:1 http://ports.ubuntu.com/ubuntu-ports impish InRelease
Get:2 http://ports.ubuntu.com/ubuntu-ports impish-updates InRelease [115 kB]
Get:3 http://ports.ubuntu.com/ubuntu-ports impish-backports InRelease [101 kB]
Hit:4 https://repo.jellyfin.org/ubuntu impish InRelease
Get:5 http://ports.ubuntu.com/ubuntu-ports impish-security InRelease [110 kB]
Get:6 http://ports.ubuntu.com/ubuntu-ports impish-updates/main arm64 Packages [308 kB]
Get:7 http://ports.ubuntu.com/ubuntu-ports impish-updates/main Translation-en [85.1 kB]
Get:8 http://ports.ubuntu.com/ubuntu-ports impish-updates/main arm64 c-n-f Metadata [5544 B]
Get:9 http://ports.ubuntu.com/ubuntu-ports impish-updates/universe arm64 Packages [166 kB]
Get:10 http://ports.ubuntu.com/ubuntu-ports impish-updates/universe arm64 c-n-f Metadata [4976 B]
Get:11 http://ports.ubuntu.com/ubuntu-ports impish-security/main arm64 Packages [249 kB]
Get:12 http://ports.ubuntu.com/ubuntu-ports impish-security/main Translation-en [67.5 kB]
Get:13 http://ports.ubuntu.com/ubuntu-ports impish-security/main arm64 c-n-f Metadata [4012 B]
Get:14 http://ports.ubuntu.com/ubuntu-ports impish-security/universe arm64 Packages [130 kB]
Get:15 http://ports.ubuntu.com/ubuntu-ports impish-security/universe arm64 c-n-f Metadata [4168 B]
Fetched 1350 kB in 4s (358 kB/s)
是的,默认存储库仍然使用
HTTP而不是HTTPS- 这适用于所有平台。基本上,这是有历史原因的,基于包已签名和时间戳的事实,并且在这种情况下为下载添加加密不会增加太多安全性。
然而,这个问答提出了一些观点,未来确实可能是一个好主意
HTTPS。使用 https 时没有添加额外的安全性,因此不需要它。https 唯一会阻止的是中间人知道您下载的内容。
篡改软件包将很容易拒绝安装它:所有软件包都带有时间戳。与时间戳的任何不匹配都会被标记为“陈旧”,并且不会由系统自动安装。
还有另一件事:完全切换到 https 意味着所有镜像都需要切换到它。这将是一个非常困难和冒险的改变。