1 votes

Pourquoi les dépôts pkg d'Ubuntu ne sont pas cryptés en SSL ?

Ni l'un ni l'autre archive.ubuntu.com ni *.archive.ubuntu.com ont un cryptage SSL par défaut. C'est un danger et une horreur, en particulier pour les serveurs publics, car les pirates peuvent se faire passer pour des utilisateurs de l'extérieur. archive.ubuntu.com et envoyer des debs avec des virus. Alors, pourquoi, et puis-je m'y connecter via SSL ?

6voto

thomasrutter Points 33791

APT est une solution d'empaquetage sécurisée dans laquelle les paquets sont signés avec des clés connues seulement d'Ubuntu et APT vérifie les clés en utilisant les clés publiques dans le trousseau d'APT sur votre système. APT vérifie les clés en utilisant les clés publiques du trousseau d'APT sur votre système. Cela fournit effectivement une assurance de bout en bout que le paquet n'est pas modifié par quiconque en dehors d'Ubuntu, que vous l'ayez obtenu d'un serveur officiel d'Ubuntu ou d'un miroir quelque part.

Le système de dépôt d'Ubuntu a été construit (comme une partie de Debian) de manière à ce que vous n'ayez pas à faire confiance au miroir que vous utilisez, mais simplement à ce qu'il n'ait pas modifié le paquet puisqu'il a été signé en interne par la distribution. Cela permet au dépôt d'être décentralisé et à tout volontaire de mettre en place un miroir.

Ainsi, par exemple, vous pouvez utiliser exemple.com comme miroir - si vous utilisez HTTPS et vérifiez que vous parlez bien à exemple.com, cela ne vous dit rien d'utile, comme si ce miroir est approuvé par votre distribution (Ubuntu) ou si ce miroir modifie les paquets après les avoir reçus d'Ubuntu pour ajouter des virus, cela vous dit simplement que vous parlez à exemple.com. Mais la vérification de signature intégrée à APT fournit ces assurances.

APT fonctionne sur HTTPS et vous pouvez utiliser HTTPS dans une entrée de sources APT pour appliquer un autre niveau d'assurance à votre connexion (si le référentiel que vous utilisez le supporte).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X