[erledigt] apt-transport-https tut nicht

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

[erledigt] apt-transport-https tut nicht

Beitrag von Krull » 18.10.2014 15:10:20

Hallo,

ich habe mir vor kurzem apt-transport-https installiert, um eine gesicherte Verbindung für Aktualisierungen und Installationen zu haben. Dummerweise funktioniert das bei mir nicht. Wenn ich beispielsweise das Security-Repo auf https umstelle (für Port 443 hat es jedenfalls ein TLS-Zertifikat), bekomme ich mit 'apt-get update' nur das:

Code: Alles auswählen

Fehl https://security.debian.org wheezy/updates/main amd64 Packages
  Failed to connect to 2001:a78:5:1:210:45ff:fb7a:6bec: Das Netzwerk ist nicht erreichbar
Keine Ahnung wieso hier plötzlich IPv6 im Spiel ist bzw. wie ich das abgestellt bekomme. Sonst macht apt alles über IPv4. Und zweitens habe ich bisher keine Liste mit https-fähigen Repos finden können, falls es so etwas überhaupt gibt. Aus 'https://www.debian.org/mirror/list' geht das ja leider nicht hervor.

Muss man evtl. an anderer Stelle noch etwas konfigurieren? Aus 'man apt.conf' werde ich nicht schlau.

Grüße
Krull
Zuletzt geändert von Krull am 21.10.2014 13:49:33, insgesamt 1-mal geändert.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: apt-transport-https tut nicht

Beitrag von wanne » 19.10.2014 18:29:43

https für apt ist einfach eine dumme Idee. Deswegen wundert mich es auch nicht, dass du da relativ wenig erfolg hast. Die pakete sind ja schon mit gpg signiert, sodass sie nicht verändert werden können. Und geheim sind sie ja jetzt nicht wirklich. Liegen ja auf nem Öffentlichen Server. Und welche Pakete du installierst, kann man an den downloadgrößen erkennen. Wundert mcih nicht, dass das kein Server mitmacht. Im zweifelsfall kannst du ja mal durchprobieren, ob irgend jemand doch zu viel Geld übrig hat, und dir auch über https ausliefert.
Krull hat geschrieben:Keine Ahnung wieso hier plötzlich IPv6 im Spiel ist
World is going on.
19 Jahre nach der IPv6 einführung scheinst sowohl du wie auch der Server einen IPv6-Fähigen Internetanschluss bekommen zu haben.
Krull hat geschrieben:bzw. wie ich das abgestellt bekomme
Wozu? Im zweifelsfall, den Stecker zum Internet Ziehen. Sollte ziemlich direkt funktionieren.
rot: Moderator wanne spricht, default: User wanne spricht.

Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: apt-transport-https tut nicht

Beitrag von Krull » 19.10.2014 21:35:47

HTTP ist grundsätzlich eine dumme Idee. Es gibt keinen einzigen Grund, auf TLS zu verzichten. Signaturen helfen mir nicht gegen das Mitlesen ISP, WLAN-Betreibern oder sonstigen Lauschern. Und die Pakete anhand der Größe zu erkennen... naja. Bei einem vielleicht. Bei Installation von Mehreren gleichzeitig wohl eher unwahrscheinlich. Höchstens mit einigem Aufwand. Es sei denn es liegen insgesamt nur drei Pakete auf dem Server und nicht mehrere tausend.
Dass die Beschaffung eines Zertifikats heute noch jemanden arm macht, halte ich für ein Gerücht. Bei den Kosten die ein Serverbetrieb ganz allgemein verursacht, fällt das doch kaum in Gewicht.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: apt-transport-https tut nicht

Beitrag von wanne » 19.10.2014 23:47:21

Krull hat geschrieben:Dass die Beschaffung eines Zertifikats heute noch jemanden arm macht, halte ich für ein Gerücht. Bei den Kosten die ein Serverbetrieb ganz allgemein verursacht, fällt das doch kaum in Gewicht.
Die Beschaffung der Zertifikate nicht. Wohl aber die der Prozessoren für die nötige Crypto. Für ne Webseite ist das wirklich ein Witz. Aber wenn du am Tag Tasusende von Paketen, die dann doch mal in die Größe von mehreren MiB gehen, hast ist das ne andere Nummer.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: apt-transport-https tut nicht

Beitrag von wanne » 20.10.2014 00:05:44

Dazu kommt der deutlcih erhöhte maintanance aufwand: Domains ändern sich und dann müssen die Zertifikate angepasst werden. SSL hatte in der Vergangenheit einige auch für den Server Sicherheitskritische Bugs und die meisten Server machen es per default gar nicht oder extrem doof, sodass ggf. einige Clients nicht damit zurech kommen...

Testweise sprechen die https:
https://ftp.informatik.uni-frankfurt.de/debian/
https://ftp-stud.hs-esslingen.de/debian/
rot: Moderator wanne spricht, default: User wanne spricht.

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: apt-transport-https tut nicht

Beitrag von tomi89 » 20.10.2014 00:12:15

Wenn der ISP nicht mitlesen soll, kann man Apt über VPN oder Tor leiten.

Bei Tor könnte noch ein nicht vertrauenswürdiger Exit-Server mitlesen, also müsste man schon bspw. einen Exit-Server vom CCC in der config festlegen.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: apt-transport-https tut nicht

Beitrag von wanne » 20.10.2014 01:50:18

tomi89 hat geschrieben:Bei Tor könnte noch ein nicht vertrauenswürdiger Exit-Server mitlesen, also müsste man schon bspw. einen Exit-Server vom CCC in der config festlegen.
Nö, Tör gewährt dier anonymität. DIe Paketinhalte sind ja bekannt. Interessant ist ja nur das DU paket xy installierst, nicht dass irgend jeamand paket xy installiert.
Nur ist apt durch tor wegen der großen Datenmenge eher keine so gute idee.
rot: Moderator wanne spricht, default: User wanne spricht.

Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: apt-transport-https tut nicht

Beitrag von Krull » 21.10.2014 13:49:02

Na schön, dann verstehe ich das mal so, dass auf Seiten der meisten Repo-Admins anscheinend kein Interesse an der Bereitstellung von vertraulichen Verbindungen besteht und das apt-https Paket im Moment weitgehend nutzlos ist.

Wobei ich die Argumente nur bedingt nachvollziehen kann. Einen Server zu betreiben und zu pflegen erfordert ja ohnehin einen gewissen Aufwand. Ich bin auch sehr dankbar dafür, dass sich Menschen diese Mühe machen. Aber sagen wir mal alle zwei oder drei Jahre ein Zertifikat zu beantragen und zu installieren, ist denke ich recht flott bewerkstelligt. Man muss es ja nicht wie Google alle drei Monate erneuern. Und sowas wie Heartbleed kommt vermutlich (hoffentlich) auch nicht jedes Jahr wieder.

Und zur CPU-Belatung möchte ich einfach mal diesen Blog (https://www.imperialviolet.org/2010/06/ ... g-ssl.html) zitieren:
SSL/TLS is not computationally expensive any more.
Mit PFS ist der Handshake zu Beginn vielleicht noch etwas mühsam. Aber das ganze XOR was dann noch folgt ist doch vernachlässigbar.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: apt-transport-https tut nicht

Beitrag von wanne » 21.10.2014 17:24:29

Krull hat geschrieben:Und zur CPU-Belatung möchte ich einfach mal diesen Blog https://www.imperialviolet.org/2010/06/ ... ng-ssl.htm
Der Mann will RSA 1024 und RC4 einsetzen...
Beides gitl als gebrochen.
Und das gilt eben wieder nur für webseiten. Der Rechenaufwand zwichen einer einer seite mit im schnitt so ca. 20kiB zu einem Makte mit 20MiB ist halt der faktor Tausend. Wenn er da bei Webseiten bei 1% ist, bracucht er für die Dateien 10 mal soviele Prozessoren wie zuvor.

Hier mal mein AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ gebenchmarkt: Der macht so etwa 43MiB/s pro core bei openssl mit aes-128-gcm (Ohne Handshakes, hashing und anderen Overhead. Nur die symmetrische verschlüsslung). => Mit dem Dualcore ist Gigabit bei weitem nicht zu machen. Jetzt klingt ein angestabter dualcore nicht so genial. Aber ich denke das die meisten irgend welche vServer sind. Und da kommt man bei wietem nicht an die Rechenleistung ran.
Mein vServer bei hetztner schafft etwa 80MiB/s.
Und wie du schon angemerkt hast, sind die Handshakes auch nicht ohne.

Aber wie gesagt: Es gibt ja wohl einige, die genügend rechenleistung übrig haben und SSL machen. Musst halt 5-10 von den sekonderen Servern durchprobieren.
rot: Moderator wanne spricht, default: User wanne spricht.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: [erledigt] apt-transport-https tut nicht

Beitrag von Cae » 21.10.2014 19:24:00

Krull hat geschrieben:Und zweitens habe ich bisher keine Liste mit https-fähigen Repos finden können, falls es so etwas überhaupt gibt. Aus 'https://www.debian.org/mirror/list' geht das ja leider nicht hervor.
Man kann sie einfach fragen:

Code: Alles auswählen

$ wget -nv -O- 'https://anonscm.debian.org/viewvc/webwml/webwml/english/mirror/Mirrors.masterlist?view=co' |
> sed -n '/^Site: /{s/^Site: //;p}' | xargs nmap -oX nmap.xml -sT -Pn -T5 -p 443 >/dev/null
$ printf '%s\n' 'cat /nmaprun/host[*]/ports/port[@portid="443"]/state[@state="open"]/../../../hostnames/hostname[@type="user"]/@name' |
> xmllint --shell nmap.xml >https-hosts.tmp
$ awk -F' |=|"' '/^ name=/{print$4}' https-hosts.tmp | sort -n >https-hosts
$ 
Im Ergebnis NoPaste-Eintrag38066 ist u.a. mirror.debianforum.de enthalten. Ob die einzelnen Mirrors nun wirklich auch das (vollstaendige) Debian-Repo ueber HTTPS anbieten, wird damit nicht getestet.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: [erledigt] apt-transport-https tut nicht

Beitrag von Krull » 25.10.2014 15:47:18

Ah, prima. Danke!

Antworten