Les gens sont parfois vraiment passionnés par le débit http / https pour les dépôts de mises à jour. Il existe des sites Web à usage unique qui expliquent pourquoi l'utilisation de https est inutile dans le contexte d'APT : "
Si les manifestes des packages sont signés, pourquoi se soucier d'utiliser https ?"
Pour moi, c'est comme la double authentification rajouter plusieurs couches de sécurité permet de limiter les dégâts en cas de faille
Dans de nombreuses attaques informatique, il ne suffit pas d'une vulnérabilité zero-day, mais il en faut plusieurs pour que cela soit exploitable.
Bref, https augmente un peu la complexifié mais à cout nul ou presque, donc pourquoi s'en priver ?
La réponse de Canonical vu que j'avais posé la question :
Question posée à Canonical en marge d'un échange sur push mirroring : Is-it possible to reference on https://launchpad.net/ubuntu/+mirror/bouygues-telecom hosting Ubuntu mirror in http secure (https in addition of http and rsync)
Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?
Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.
La réponse : So, short answer, there's no reason you can't drop FTP, as far as I know it's not a requirement for even a country mirror. In terms of adding HTTPS, there's quite a bit of complexity there and it's something we've been discussing but haven't reach a point where there's a good path going forward. We'd have to manage the SSL certificate for you, for example, if you wanted to support HTTPS on the fr.archive.ubuntu.com virtual host, among other things. It is something we're actively working on supporting and have a strong interest in doing, though I can't give you a timeline for it.
Traduction rapide de la réponse : Donc, pour répondre rapidement, il n'y a aucune raison pour laquelle vous ne pouvez pas abandonner le FTP, pour autant que je sache que ce n'est même pas une obligation pour un miroir de pays. Pour ce qui est de l'ajout du protocole HTTPS, cela entraîne beaucoup de complexité et c'est quelque chose dont nous avons discuté, mais qui n'est pas prêt. Nous devrons gérer le certificat SSL pour vous, par exemple, si vous souhaitez prendre en charge HTTPS sur l'hôte virtuel fr.archive.ubuntu.com, entre autres choses. C'est quelque chose que nous travaillons activement à soutenir et qui nous intéresse vivement, même si je ne peux pas vous donner un échéancier.
Il me semble plus simple de continuer sur le bug https://bugs.launchpad.net/ubuntu/+bug/1464064 ( Ubuntu apt repos are not available via HTTPS )