Gibt es Debian-Spiegelserver mit HTTPS-Unterstützung?

[vilbel]

Hallo,
ich habe erfahren, dass es seit längerer Zeit das Paket apt-transport-https gibt. Es ermöglicht die Übertragung von Paketen zwischen Spiegelserver und Client via HTTPS. Allerdings scheint mir der Nutzen dieses Pakets sehr gering, da kaum ein offizieller Spiegelserver HTTPS unterstützt. In Deutschland habe ich bisher keinen Spiegelserver gefunden, der HTTPS anbietet. Lediglich ein sekundärer Spiegelserver in Korea bietet ausdrücklich HTTPS an und schreibt das auch als Kommentar in der Liste aller Debian Spiegelserver.

Liste aller Spiegelserver: https://www.debian.org/mirror/list.de.html

Kennt ihr noch andere Server mit HTTPS-Unterstützung?
Sollte man vielleicht auch Bedenken wegen des Ortes (Korea) haben?

 

[up.whatever]

Warum willst du denn überhaupt HTTPS für das Repository verwenden? Die Softwarepakete von Debian sind alle signiert, wenn daran irgendwas von einer nicht autorisierten Stelle verändert wurde, bekommst du beim Installationsversuch sofort eine Warnung präsentiert. Die einzige "Gefahr" der unverschlüsselten Verbindung liegt darin, dass andere ggf. sehen können, welche Pakete du herunterlädst.

 

[okidoki]

Die einzige "Gefahr" der unverschlüsselten Verbindung liegt darin, dass andere ggf. sehen können, welche Pakete du herunterlädst.

Denke das wird der wesentliche Grund für vilbel sein. Kenne leider keine weiteren https mirrors (gibt für atlassian-devs ein spezielles aber das ist für nicht atlassian-entwickler wohl nicht interessant. Korea? Solange es Südkorea ist, hätte ich da keinerlei Bedenken.

 

[up.whatever]

Naja, zumindest der Betreiber des Mirrors sieht auch mit https was du so runterlädst. Wer darin ein Problem sieht sollte evtl. über einen privaten Mirror im eigenen LAN nachdenken.
So oder so werden die Sicherheitsupdates in jedem Fall unverschlüsselt von security.debian.org geladen, der Nutzen für die Privatsphäre hält sich also stark in Grenzen.

 

[fax668]

Wie wär's mit Tor Onion Services? Damit kann man die Pakete weitestgehend anonym runterladen und die Integrität wird, wie schon erwähnt, durch die Signatur sicher gestellt.

 

[mensch183]

z.B. https://ftp.se.debian.org/debian/

 

[vilbel]

So oder so werden die Sicherheitsupdates in jedem Fall unverschlüsselt von security.debian.org geladen, der Nutzen für die Privatsphäre hält sich also stark in Grenzen.

Bist du dir da sicher? Ich dachte, dass die Aktualisierungen bei einem Spiegelserver mit HTTPS-Unterstützung ebenfalls verschlüsselt übertragen werden.

z.B. https://ftp.se.debian.org/debian/

Danke. Das werde ich mir anschauen.

Wie wär's mit Tor Onion Services?

Danke für den Ratschlag. Das kenne ich auch schon und habe das auch probiert. Ich war damit nicht so zufrieden, weil die Übertragungsgeschwindigkeit regelmäßig sehr gering war und der Aktualisierungsvorgang in der Folge sehr lange dauerte.

 

[up.whatever]

Naja, auf den Mirrors liegt in der Regel nur das letzte Point Release, also momentan Debian 8.6. Für alle danach erschienenen Sicherheitsupdates gibt es das security.debian.org Repository und das ist nur unverschlüsselt erreichbar. Theoretisch kannst du natürlich security.debian.org in deiner sources.list auskommentieren und nur deinen HTTPS-Mirror nutzen -- aber dann bekommst du halt nur noch alle paar Monate neue Sicherheitsupdates; also eher Suboptimal.