APT-TRANSPORT-HTTP(1) APT APT-TRANSPORT-HTTP(1) NOME apt-transport-https - Transporte do APT para descarregar via Protocolo Seguro HTTP (HTTPS) DESCRICAO Este transporte do APT permite o uso de repositorios acedidos via HTTP Secure protocol (HTTPS), tambem chamado de HTTP sobre TLS. Esta disponivel por predefinicao desde o apt 1.5 e estava disponivel antes no pacote apt-transport-https. Note que um transporte nunca e chamado directamente por um utilizador mas usado pelas ferramentas do APT com base na configuracao do utilizador. HTTP e por si proprio um protocolo de transporte nao encriptado (comprove apt-transport-http(1)), o qual, sendo indicado pelo S acrescentado, fica embrulhado numa camada encriptada conhecida por Transport Layer Security (TLS) para disponibilizar encriptacao fim-para-fim. Um atacante com habilidades suficientes pode mesmo assim observar os colegas de comunicacao e uma analise mais profunda a comunicacao encriptada pode mesmo assim revelar detalhes importantes. Uma visao geral sobre metodos de transporte disponiveis alternativos e dada em sources.list(5). OPCOES O protocolo HTTPS e baseado no protocolo HTTP, assim todas as opcoes suportadas pelo apt-transport-http(1) sao tambem suportadas via Acquire::https e irao usa por predefinicao os mesmos valores especificados para Acquire::http. Esta manual ira apenas documentar as opcoes unicas para https. Credenciais do Servidor By default all certificates trusted by the system (see ca-certificates package) are used for the verification of the server certificate. An alternative certificate authority (CA) can be configured with the Acquire::https::CAInfo option and its host-specific option Acquire::https::host::CAInfo. The CAInfo option specifies a file made up of CA certificates (in PEM format) concatenated together to create the chain which APT should use to verify the path from your self-signed root certificate. If the remote server provides the whole chain during the exchange, the file need only contain the root certificate. Otherwise, the whole chain is required. If you need to support multiple authorities, the only way is to concatenate everything. A custom certificate revocation list (CRL) can be configured with the options Acquire::https::CRLFile and Acquire::https::host::CRLFile. As with the previous option, a file in PEM format needs to be specified. Desactivar a seguranca Durante a autenticacao do servidor, se a verificacao do certificado falhar por alguma razao (expirada, revogada, intermediarios, etc), a ligacao falha. Isto e obviamente o que voce espera em todos os casos e o que o valor predefinido (true) da opcao Acquire::https::Verify-Peer e o que a variante especifica da maquina fornece. Se voce sabe exactamente o que esta a fazer, definir esta opcao para "false" permite saltar a verificacao de certificado de peer e concluir a transacao com sucesso. Mais uma vez, esta opcao serve para objectivos de depuracao e testes apenas pois ela remove toda a seguranca fornecida pelo uso de HTTPS. De modo semelhante a opcao Acquire::https::Verify-Host e a sua variante especifica de maquina pode ser usada para desactivar uma funcionalidade de seguranca. O certificado fornecido pelo servidor inclui a identidade do servidor a qual deve corresponder ao nome DNS usado para lhe aceder. Por predefinicao, e como pedido por RFC 2818, o nome do mirror e verificado contra a identidade encontrada no certificado. Este comportamento predefinido e seguro e nao deve ser alterado, ,mas se voce sabe que o servidor que esta a usar tem um nome DNS que nao corresponde a identidade no seu certificado, voce pode definir a opcao para "false", o que ira impedir que a comparacao seja feita. Autenticacao do cliente Para alem de suportar autenticacao baseada em palavra-passe (veja apt_auth.conf(5)) o HTTPS tambem suporta autenticacao baseada em certificados do cliente via Acquire::https::SSLCert e Acquire::https::SSLKey. Estes devem ser definidos respetivamente no nome de ficheiro do certificado de cliente X.509 e a chave privada (nao encriptada) associada, ambos em formato PEM. Na pratica o uso de variantes especificas da maquina de ambas opcoes e altamente recomendado. EXEMPLOS Acquire::https { Proxy::example.org "DIRECT"; Proxy "socks5h://apt:pass@127.0.0.1:9050"; Proxy-Auto-Detect "/usr/local/bin/apt-https-proxy-auto-detect"; No-Cache "true"; Max-Age "3600"; No-Store "true"; Timeout "10"; Dl-Limit "42"; Pipeline-Depth "0"; AllowRedirect "false"; User-Agent "My APT-HTTPS"; SendAccept "false"; CAInfo "/path/to/ca/certs.pem"; CRLFile "/path/to/all/crl.pem"; Verify-Peer "true"; Verify-Host::broken.example.org "false"; SSLCert::example.org "/path/to/client/cert.pem"; SSLKey::example.org "/path/to/client/key.pem" }; VEJA TAMBEM apt-transport-http(1) apt.conf(5) apt_auth.conf(5) sources.list(5) BUGS pagina de bugs do APT[1]. Se deseja reportar um bug no APT, por favor veja /usr/share/doc/debian/bug-reporting.txt ou o comando reportbug(1). TRADUCAO A traducao Portuguesa foi feita por Americo Monteiro de 2009 a 2012. A traducao foi revista pela equipa de traducoes portuguesas da Debian . Note que este documento traduzido pode conter partes nao traduzidas. Isto e feito propositadamente, para evitar perdas de conteudo quando a traducao esta atrasada relativamente ao conteudo original. AUTOR Equipa do APT NOTAS 1. pagina de bugs do APT https://bugs.debian.org/src:apt APT 3.3.0 04 Janeiro 2026 APT-TRANSPORT-HTTP(1)