'\" t
.\" Title: apt-transport-https
.\" Author: Equipa do APT
.\" Generator: DocBook XSL Stylesheets vsnapshot
.\" Date: 11\ \&Maio\ \&2018
.\" Manual: APT
.\" Source: APT 2.9.5
.\" Language: Portuguese
.\"
.TH "APT\-TRANSPORT\-HTTP" "1" "11\ \&Maio\ \&2018" "APT 2.9.5" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOME"
apt-transport-https \- Transporte do APT para descarregar via Protocolo Seguro HTTP (HTTPS)
.SH "DESCRI\(,C\(~AO"
.PP
Este transporte do APT permite o uso de reposit\('orios acedidos via HTTP Secure protocol (HTTPS), tamb\('em chamado de HTTP sobre TLS\&. Est\('a dispon\('ivel por predefini\(,c\(~ao desde o apt 1\&.5 e estava dispon\('ivel antes no pacote
apt\-transport\-https\&. Note que um transporte nunca \('e chamado directamente por um utilizador mas usado pelas ferramentas do APT com base na configura\(,c\(~ao do utilizador\&.
.PP
HTTP \('e por si pr\('oprio um protocolo de transporte n\(~ao encriptado (comprove
\fBapt-transport-http\fR(1)), o qual, sendo indicado pelo S acrescentado, fica embrulhado numa camada encriptada conhecida por Transport Layer Security (TLS) para disponibilizar encripta\(,c\(~ao fim\-para\-fim\&. Um atacante com habilidades suficientes pode mesmo assim observar os colegas de comunica\(,c\(~ao e uma an\('alise mais profunda \(`a comunica\(,c\(~ao encriptada pode mesmo assim revelar detalhes importantes\&. Uma vis\(~ao geral sobre m\('etodos de transporte dispon\('iveis alternativos \('e dada em
\fBsources.list\fR(5)\&.
.SH "OP\(,C\(~OES"
.PP
O protocolo HTTPS \('e baseado no protocolo HTTP, assim todas as op\(,c\(~oes suportadas pelo
\fBapt-transport-http\fR(1)
s\(~ao tamb\('em suportadas via
Acquire::https
e ir\(~ao usa por predefini\(,c\(~ao os mesmos valores especificados para
Acquire::http\&. Esta manual ir\('a apenas documentar as op\(,c\(~oes
\fI\('unicas para https\fR\&.
.SS "Credenciais do Servidor"
.PP
Por predefini\(,c\(~ao todos os pacotes confi\('aveis pelo sistema (veja o pacote
ca\-certificates) s\(~ao usados para a verifica\(,c\(~ao do certificado do servidor\&. Uma autoridade de certifica\(,c\(~ao (CA) alternativa pode ser configurada com a op\(,c\(~ao
Acquire::https::CAInfo
e a sua op\(,c\(~ao especifica de m\('aquina
Acquire::https::CAInfo::\fIm\('aquina\fR\&. A op\(,c\(~ao CAInfo especifica um ficheiro feito de certificados CA (em formato PEM) todos concatenados para criar a cadeia que o APT deve usar para verificar o caminho do seu certificado de raiz auto\-assinado\&. Se o servidor remoto fornecer a cadeia inteira durante a transfer\(^encia, o ficheiro precisa apenas de conter o certificado de raiz\&. Caso contr\('ario, \('e precisa a cadeia inteira\&. Se precisar de suportar m\('ultiplas autoridades, a \('unica maneira \('e concatenar tudo\&.
.PP
Uma lista de revoga\(,c\(~ao de certificados personalizada (CRL) pode ser configurada com as op\(,c\(~oes
Acquire::https::CRLFile
e
Acquire::https::CRLFile::\fIm\('aquina\fR\&. Como a op\(,c\(~ao anterior, um ficheiro em formato PEM precisa de ser especificado\&.
.SS "Desactivar a seguran\(,ca"
.PP
Durante a autentica\(,c\(~ao do servidor, se a verifica\(,c\(~ao do certificado falhar por alguma raz\(~ao (expirada, revogada, intermedi\('arios, etc), a liga\(,c\(~ao falha\&. Isto \('e obviamente o que voc\(^e espera em todos os casos e o que o valor predefinido (true) da op\(,c\(~ao
Acquire::https::Verify\-Peer
e o que a variante especifica da m\('aquina fornece\&. Se voc\(^e sabe
\fIexactamente\fR
o que est\('a a fazer, definir esta op\(,c\(~ao para "false" permite saltar a verifica\(,c\(~ao de certificado de peer e concluir a transa\(,c\(~ao com sucesso\&. Mais uma vez, esta op\(,c\(~ao serve para objectivos de depura\(,c\(~ao e testes apenas pois ela remove toda a seguran\(,ca fornecida pelo uso de HTTPS\&.
.PP
De modo semelhante a op\(,c\(~ao
Acquire::https::Verify\-Host
e a sua variante especifica de m\('aquina pode ser usada para desactivar uma funcionalidade de seguran\(,ca\&. O certificado fornecido pelo servidor inclui a identidade do servidor a qual deve corresponder ao nome DNS usado para lhe aceder\&. Por predefini\(,c\(~ao, e como pedido por RFC 2818, o nome do mirror \('e verificado contra a identidade encontrada no certificado\&. Este comportamento predefinido \('e seguro e n\(~ao deve ser alterado, ,mas se voc\(^e sabe que o servidor que est\('a a usar tem um nome DNS que n\(~ao corresponde \(`a identidade no seu certificado, voc\(^e pode definir a op\(,c\(~ao para "false", o que ir\('a impedir que a compara\(,c\(~ao seja feita\&.
.SS "Autentica\(,c\(~ao do cliente"
.PP
Para al\('em de suportar autentica\(,c\(~ao baseada em palavra\-passe (veja
\fBapt_auth.conf\fR(5)) o HTTPS tamb\('em suporta autentica\(,c\(~ao baseada em certificados do cliente via
Acquire::https::SSLCert
e
Acquire::https::SSLKey\&. Estes devem ser definidos respetivamente no nome de ficheiro do certificado de cliente X\&.509 e a chave privada (n\(~ao encriptada) associada, ambos em formato PEM\&. Na pr\('atica o uso de variantes especificas da m\('aquina de ambas op\(,c\(~oes \('e altamente recomendado\&.
.SH "EXEMPLOS"
.sp
.if n \{\
.RS 4
.\}
.nf
Acquire::https {
Proxy::example\&.org "DIRECT";
Proxy "socks5h://apt:pass@127\&.0\&.0\&.1:9050";
Proxy\-Auto\-Detect "/usr/local/bin/apt\-https\-proxy\-auto\-detect";
No\-Cache "true";
Max\-Age "3600";
No\-Store "true";
Timeout "10";
Dl\-Limit "42";
Pipeline\-Depth "0";
AllowRedirect "false";
User\-Agent "My APT\-HTTPS";
SendAccept "false";
CAInfo "/path/to/ca/certs\&.pem";
CRLFile "/path/to/all/crl\&.pem";
Verify\-Peer "true";
Verify\-Host::broken\&.example\&.org "false";
SSLCert::example\&.org "/path/to/client/cert\&.pem";
SSLKey::example\&.org "/path/to/client/key\&.pem"
};
.fi
.if n \{\
.RE
.\}
.SH "VEJA TAMB\('EM"
.PP
\fBapt-transport-http\fR(1)
\fBapt.conf\fR(5)
\fBapt_auth.conf\fR(5)
\fBsources.list\fR(5)
.SH "BUGS"
.PP
\m[blue]\fBp\('agina de bugs do APT\fR\m[]\&\s-2\u[1]\d\s+2\&. Se deseja reportar um bug no APT, por favor veja
/usr/share/doc/debian/bug\-reporting\&.txt
ou o comando
\fBreportbug\fR(1)\&.
.SH "TRADU\(,C\(~AO"
.PP
A tradu\(,c\(~ao Portuguesa foi feita por Am\('erico Monteiro
de 2009 a 2012\&. A tradu\(,c\(~ao foi revista pela equipa de tradu\(,c\(~oes portuguesas da Debian
\&.
.PP
Note que este documento traduzido pode conter partes n\(~ao traduzidas\&. Isto \('e feito propositadamente, para evitar perdas de conte\('udo quando a tradu\(,c\(~ao est\('a atrasada relativamente ao conte\('udo original\&.
.SH "AUTOR"
.PP
\fBEquipa do APT\fR
.RS 4
.RE
.SH "NOTAS"
.IP " 1." 4
p\('agina de bugs do APT
.RS 4
\%https://bugs.debian.org/src:apt
.RE