¿Por qué las distribuciones predeterminan las fuentes del paquete HTTP en lugar de HTTPS [duplicado]?

Los paquetes en las distribuciones basadas en Debian están firmadas criptográficamente, su manipulación sería muy difícil. (De hecho, generalmente usan el mismo algoritmo que se usa para autenticar un servidor a través de HTTPS). El envío de paquetes a través de HTTP tiene una serie de ventajas :

1. Los proxies intermedios pueden almacenar en caché los paquetes. (Ejecuto una instancia apt-cacher-ng local por exactamente este motivo).
2. Hay menos carga en los servidores espejo.
3. No es necesario administrar los certificados TLS para los espejos. (Tenga en cuenta que un solo nombre de host podría resolverse para múltiples réplicas ejecutadas por diferentes organizaciones, como universidades, empresas, particulares, la distribución en sí misma).

Hay una falta de confidencialidad, pero la integridad de los paquetes debe permanecer mientras OpenPGP se considere seguro. Tenga en cuenta que incluso con TLS, es probable que sea trivial identificar los paquetes que está descargando desde un espejo.

Ha identificado a Kali y Parrot como "distribuciones de seguridad", que es una clasificación razonable, pero probablemente vale la pena señalar que están diseñadas para el uso de herramientas de seguridad, no para que sean una plataforma segura. No necesita mirar más allá de la política de "raíz por defecto" de Kali para ver que la facilidad de uso de las herramientas ha superado la seguridad de la distribución en su balance. Si está utilizando Kali porque cree que le proporciona un escritorio seguro, debería reconsiderarlo.

Supongo que la razón es no sobrecargar demasiado los servidores. Sobre la posibilidad de insertar puertas traseras, etc., se supone que la integridad de los archivos está asegurada debido a GPG y su firma de archivos. Lo único que puede hacer un observador pasivo es ver los paquetes que está descargando.

Saludos.