APT-TRANSPORT-HTTP(1) APT APT-TRANSPORT-HTTP(1) NOME apt-transport-https - Transporte do APT para descarregar via Protocolo Seguro HTTP (HTTPS) DESCRICAO Este transporte do APT permite o uso de repositorios acedidos via HTTP Secure protocol (HTTPS), tambem chamado de HTTP sobre TLS. Esta disponivel por predefinicao desde o apt 1.5 e estava disponivel antes no pacote apt-transport-https. Note que um transporte nunca e chamado directamente por um utilizador mas usado pelas ferramentas do APT com base na configuracao do utilizador. HTTP e por si proprio um protocolo de transporte nao encriptado (comprove apt-transport-http(1)), o qual, sendo indicado pelo S acrescentado, fica embrulhado numa camada encriptada conhecida por Transport Layer Security (TLS) para disponibilizar encriptacao fim-para-fim. Um atacante com habilidades suficientes pode mesmo assim observar os colegas de comunicacao e uma analise mais profunda a comunicacao encriptada pode mesmo assim revelar detalhes importantes. Uma visao geral sobre metodos de transporte disponiveis alternativos e dada em sources.list(5). OPCOES O protocolo HTTPS e baseado no protocolo HTTP, assim todas as opcoes suportadas pelo apt-transport-http(1) sao tambem suportadas via Acquire::https e irao usa por predefinicao os mesmos valores especificados para Acquire::http. Esta manual ira apenas documentar as opcoes unicas para https. Credenciais do Servidor Por predefinicao todos os pacotes confiaveis pelo sistema (veja o pacote ca-certificates) sao usados para a verificacao do certificado do servidor. Uma autoridade de certificacao (CA) alternativa pode ser configurada com a opcao Acquire::https::CAInfo e a sua opcao especifica de maquina Acquire::https::CAInfo::maquina. A opcao CAInfo especifica um ficheiro feito de certificados CA (em formato PEM) todos concatenados para criar a cadeia que o APT deve usar para verificar o caminho do seu certificado de raiz auto-assinado. Se o servidor remoto fornecer a cadeia inteira durante a transferencia, o ficheiro precisa apenas de conter o certificado de raiz. Caso contrario, e precisa a cadeia inteira. Se precisar de suportar multiplas autoridades, a unica maneira e concatenar tudo. Uma lista de revogacao de certificados personalizada (CRL) pode ser configurada com as opcoes Acquire::https::CRLFile e Acquire::https::CRLFile::maquina. Como a opcao anterior, um ficheiro em formato PEM precisa de ser especificado. Desactivar a seguranca Durante a autenticacao do servidor, se a verificacao do certificado falhar por alguma razao (expirada, revogada, intermediarios, etc), a ligacao falha. Isto e obviamente o que voce espera em todos os casos e o que o valor predefinido (true) da opcao Acquire::https::Verify-Peer e o que a variante especifica da maquina fornece. Se voce sabe exactamente o que esta a fazer, definir esta opcao para "false" permite saltar a verificacao de certificado de peer e concluir a transacao com sucesso. Mais uma vez, esta opcao serve para objectivos de depuracao e testes apenas pois ela remove toda a seguranca fornecida pelo uso de HTTPS. De modo semelhante a opcao Acquire::https::Verify-Host e a sua variante especifica de maquina pode ser usada para desactivar uma funcionalidade de seguranca. O certificado fornecido pelo servidor inclui a identidade do servidor a qual deve corresponder ao nome DNS usado para lhe aceder. Por predefinicao, e como pedido por RFC 2818, o nome do mirror e verificado contra a identidade encontrada no certificado. Este comportamento predefinido e seguro e nao deve ser alterado, ,mas se voce sabe que o servidor que esta a usar tem um nome DNS que nao corresponde a identidade no seu certificado, voce pode definir a opcao para "false", o que ira impedir que a comparacao seja feita. Autenticacao do cliente Para alem de suportar autenticacao baseada em palavra-passe (veja apt_auth.conf(5)) o HTTPS tambem suporta autenticacao baseada em certificados do cliente via Acquire::https::SSLCert e Acquire::https::SSLKey. Estes devem ser definidos respetivamente no nome de ficheiro do certificado de cliente X.509 e a chave privada (nao encriptada) associada, ambos em formato PEM. Na pratica o uso de variantes especificas da maquina de ambas opcoes e altamente recomendado. EXEMPLOS Acquire::https { Proxy::example.org "DIRECT"; Proxy "socks5h://apt:pass@127.0.0.1:9050"; Proxy-Auto-Detect "/usr/local/bin/apt-https-proxy-auto-detect"; No-Cache "true"; Max-Age "3600"; No-Store "true"; Timeout "10"; Dl-Limit "42"; Pipeline-Depth "0"; AllowRedirect "false"; User-Agent "My APT-HTTPS"; SendAccept "false"; CAInfo "/path/to/ca/certs.pem"; CRLFile "/path/to/all/crl.pem"; Verify-Peer "true"; Verify-Host::broken.example.org "false"; SSLCert::example.org "/path/to/client/cert.pem"; SSLKey::example.org "/path/to/client/key.pem" }; VEJA TAMBEM apt-transport-http(1) apt.conf(5) apt_auth.conf(5) sources.list(5) BUGS pagina de bugs do APT[1]. Se deseja reportar um bug no APT, por favor veja /usr/share/doc/debian/bug-reporting.txt ou o comando reportbug(1). TRADUCAO A traducao Portuguesa foi feita por Americo Monteiro de 2009 a 2012. A traducao foi revista pela equipa de traducoes portuguesas da Debian . Note que este documento traduzido pode conter partes nao traduzidas. Isto e feito propositadamente, para evitar perdas de conteudo quando a traducao esta atrasada relativamente ao conteudo original. AUTOR Equipa do APT NOTAS 1. pagina de bugs do APT https://bugs.debian.org/src:apt APT 2.9.5 11 Maio 2018 APT-TRANSPORT-HTTP(1)