为什么 CentOS 镜像是 HTTP 而不是 HTTPS？

Question

据我所知，HTTP很容易受到中间人攻击。因此，Alpine Linux或CentOS镜像中的存储库不是 HTTPS。

\n

在过去，拥有 HTTPS 曾经是一件昂贵的事情。它会消耗服务器 CPU 时间，而且证书不是免费的。但现在已经是 2022 年了，我们有很多方法来克服这些问题，而且安全性比以往任何时候都更加重要！

\n

我们如何才能更智能地获取二进制文件？

\n

这也是更广泛的 Linux 社区中的一个问题吗？即Ubuntu、Linux Mint、openSUSE等？

\n

Answer 1

包确实已签名，因此会注意到操纵。

此外，这些包不是秘密的，因此无需在传输时对其进行加密。

由于镜像的下载量很大，这可能会为他们节省大量资源。

在Debian和 Ubuntu上也是一样的。

值得怀疑的是“这可能为他们节省了大量资源”https://istlsfastyet.com/ (14认同)
流量分析是一个很好的工具，可以发现服务器正在安装什么，从而发现它拉动的潜在易受攻击的包 - 所以我不同意你的说法“这些包不是秘密的，所以不需要加密它们”。 (11认同)
@AndrewSavinykh AES CPU 时间并不是唯一增加资源的因素。https 本质上是反 MITM 的，这使得 http 加速代理无法减少服务器负载。HTTP 加速器，例如 Squid。 (6认同)

Answer 2

从技术角度来看，当您需要管理和更新多个系统时，代理服务器可以轻松缓存纯 HTTP 内容，这一事实可能会带来很大的不同。

设置本地镜像通常是矫枉过正且不切实际，但是当您的代理服务器可以以 LAN 速度从缓存提供更新时，而不是网络中的每个客户端都连接到在线源时...

Answer 3

这些软件包通过非渠道方法进行签名（GPG密钥存储在您的系统上）。

使用 HTTP 的主要用途是可以轻松地在 Internet 和计算机之间建立依赖代理，这可以节省大量带宽和时间，因为只需下载一次（第一次）升级即可实现潜在的 1000 秒（虚拟））机器。

HTTPS 可以防止这种情况发生（不是完全，但会使其变得更加困难），因为采用端到端加密，您无法轻松放置拦截下载的包的内容来存储它们并在以后提供服务。