所以我刚刚像往常一样更新我的 Ubuntu 18.04 系统,当我注意到 apt 存储库正在通过 HTTP 访问时。快速的互联网搜索证实这是标准的(至少对于 ubuntu 来说是这样),但没有给出原因的答案。现在我知道 apt 对包执行签名/健全性检查,但为什么不使用 HTTPS?
编辑 2019-01-24:鉴于最近因 HTTP 通信而出现的 RCE 漏洞,我想指出我发现的有关此主题的一些当前链接。
https://whydoesaptnotusehttps.com/ -> 一个单一目的网站,仅用于解释为什么 HTTP 就足够了。
https://justi.cz/security/2019/01/22/apt-rce.html -> 如何利用 HTTP 连接在目标主机上执行任意代码(以及如何保护自己免受此类攻击)。
https://usn.ubuntu.com/3863-1/ -> Ubuntu 安全声明
https://lists.debian.org/debian-security-announce/2019/msg00010.html -> Debian 安全公告。