Con toda la paranoia que surgió con las revelaciones de la NSA, me pregunto por qué el mecanismo de instalación del paquete Debian no admite HTTPS para su transporte, y mucho menos usar uno de forma predeterminada.
Sé que los paquetes de Debian tienen algún tipo de validación de firma usando GPG, pero aun así, no creo que usar el transporte HTTPS en lugar de HTTP sea demasiado difícil, considerando lo crucial que es esto en términos de seguridad.
Editar:principalmente quiero protegerme de los ataques de MitM (incluido solo el rastreo de tráfico), no de los administradores espejo de Debian. Los repositorios HTTP ponen todo el sistema configurado sobre la mesa para cualquiera que husmee el tráfico a las réplicas de Debian.
Respuesta aceptada:
Hay. Necesitas instalar el paquete apt-transport-https . Entonces puedes usar líneas como
deb https://some.server.com/debian stable main
en tu sources.list expediente. Pero, por lo general, eso no es necesario, ya que todo el contenido es público de todos modos y agrega latencia y sobrecarga de cifrado. Dado que no confía en la clave pública de un atacante, incluso el tráfico http está a salvo de los ataques MitM. apt le advertirá y no podrá instalar los paquetes cuando un atacante inyecte paquetes manipulados.
EDITAR:como se menciona en los comentarios, es más seguro usar el repositorio TLS. La investigación muestra que el uso de apt en repositorios no cifrados puede representar un riesgo de seguridad, ya que el transporte HTTP es vulnerable a los ataques de reproducción.