'\" t
.\" Title: apt-transport-https
.\" Author: APT-Team
.\" Generator: DocBook XSL Stylesheets vsnapshot
.\" Date: 11\ \&Mai\ \&2018
.\" Manual: APT
.\" Source: APT 2.2.4
.\" Language: German
.\"
.TH "APT\-TRANSPORT\-HTTP" "1" "11\ \&Mai\ \&2018" "APT 2.2.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
apt-transport-https \- APT\-Transportmethode zum Herunterladen mittels HTTP\-Sicherheitsprotokoll (HTTPS)
.SH "BESCHREIBUNG"
.PP
Diese APT\-Transportmethode erm\(:oglicht die Verwendung von Depots, auf die mittels des HTTP\-Sicherheitsprotokolls (HTTPS), auch unter HTTP \(:uber TLS bekannt, zugegriffen werden kann\&. Es ist standardm\(:a\(ssig seit APT 1\&.5 verf\(:ugbar und war zuvor im Paket
apttransport\-https
verf\(:ugbar\&. Beachten Sie, dass eine Transportmethode niemals direkt durch einen Benutzer aufgerufen wird, jedoch von APT\-Werkzeugen basierend auf der Konfiguration des Benutzers\&.
.PP
HTTP selbst ist ein unverschl\(:usseltes Transportprotokoll (vergleichen Sie
\fBapt-transport-http\fR(1)), das, wie es das angeh\(:angte S angibt, in eine verschl\(:usselte Ebene, bekannt als Transport Layer Security (TLS), eingepackt wird, um eine Ende\-zu\-Ende\-Verschl\(:usselung bereitzustellen\&. Ein Angreifer mit ausreichenden F\(:ahigkeiten kann die Kommunikationspartner immer noch beobachten und eine tiefere Analyse der verschl\(:usselten Kommunikation k\(:onnte immer noch wichtige Einzelheiten offenbaren\&. Einen \(:Uberblick \(:uber alternative Transportmethoden finden Sie in der
\fBsources.list\fR(5)\&.
.SH "OPTIONEN"
.PP
Das HTTPS\-Protokoll basiert auf dem HTTP\-Protokoll, daher sind alle von
\fBapt-transport-http\fR(1)
unterst\(:utzten Optionen auch mittels
Acquire::https
verf\(:ugbar und haben dieselben Voreinstellungen, wie die, die f\(:ur
Acquire::http
angegeben wurden\&. Diese Handbuchseite wird nur die Optionen beschreiben, die
\fIeinzig f\(:ur HTTPS\fR
gelten\&.
.SS "Serveranmeldedaten"
.PP
Standardm\(:a\(ssig werden alle Zertifikate, denen das System vertraut (siehe das Paket
ca\-certificates), f\(:ur die Pr\(:ufung des Serverzertifikats benutzt\&. Eine alternative Zertifizierungstelle (CA) kann mit der Option
Acquire::https::CAInfo
und der zugeh\(:origen rechnerspezifischen Option
Acquire::https::CAInfo::\fIRechner\fR
konfiguriert werden\&. Die Option CAInfo gibt eine Datei an, die aus CA\-Zertifikaten (im PEM\-Format) besteht, die zur Erstellung der Kette aneinandergereiht wurde, die APT zur Pr\(:ufung des Pfads bis zur Wurzel (dem selbstsignierten Zertifikat) benutzen soll\&. Falls der ferne Server w\(:ahrend des Austauschs die ganze Kette bereitstellt, muss die Datei nur das Wurzelzertifikat enthalten\&. Andernfalls wird die ganze Kette ben\(:otigt\&. Falls Sie mehrere Zertifizierungstellen unterst\(:utzen m\(:ussen, besteht die einzige M\(:oglichkeit darin, alles aneinander zu h\(:angen\&.
.PP
Eine benutzerdefinierte Zertifikatwiderrufsliste (CRL) kann mit den Optionen
Acquire::https::CRLFile
beziehungsweise
Acquire::https::CRLFile::\fIRechner\fR
konfiguriert werden\&. Wie bei der vorherigen Option muss eine Datei im PEM\-Format angegeben werden\&.
.SS "Sicherheit deaktivieren"
.PP
Wenn bei der Authentifizierung des Servers die Pr\(:ufung des Zertifikats aus irgendeinem Grund fehlschl\(:agt (abgelaufen, zur\(:uckgezogen, Mann in der Mitte, usw\&.) scheitert der Verbindungsaufbau\&. Dies ist offenkundig das, was Sie auf jeden Fall wollen und der Vorgabewert (\(Fctrue\(Fo) der Option
Acquire::https::Verify\-Peer
und was ihre rechnerspezifische Variante bereitstellt\&. Falls Sie
\fIgenau\fR
wissen, was Sie tun, erm\(:oglicht Ihnen das Setzen dieser Variable auf \(Fcfalse\(Fo, die Pr\(:ufung des Partnerzertifikats zu \(:uberspringen und den Austausch erfolgreich durchzuf\(:uhren\&. Nochmals \(en diese Option dient nur der Fehlersuche und zu Testzwecken, da sie alle durch die Verwendung von HTTPS bereitgestellte Sicherheit entfernt\&.
.PP
Ebenso kann die Option
Acquire::https::Verify\-Host
und ihre rechnerspezifischen Variante zum Deaktivieren einer Sicherheitsfunktionalit\(:at verwendet werden: Das vom Server bereitgestellte Zertifikat enth\(:alt die Identit\(:at des Servers, der dem DNS\-Namen entsprechen sollte, der zum Zugriff darauf benutzt wird\&. Standardm\(:a\(ssig wird, wie von RFC 2818 verlangt, der Name des Spiegelservers mit der im Zertifikat gefundenen Identit\(:at gepr\(:uft\&. Dieses Standardverhalten ist sicher und sollte nicht ge\(:andert werden, falls Sie jedoch wissen, dass der Server, den Sie verwenden, einen DNS\-Namen hat, der nicht der Identit\(:at in seinem Zertifikat entspricht, k\(:onnen Sie die Option auf \(Fcfalse\(Fo setzen, wodurch das Vergleichen verhindert wird\&.
.SS "Client\-Authentifizierung"
.PP
Abseits der unterst\(:utzten passwortbasierten Authentifizierung (siehe
\fBapt_auth.conf\fR(5)) unterst\(:utzt HTTPS auch die Authentifizierung auf Basis von Client\-Zertifikaten mittels
Acquire::https::SSLCert
und
Acquire::https::SSLKey\&. Sie sollten jeweils auf den Dateinamen des X\&.509\-Client\-Zertifikats und des zugeh\(:origen (unverschl\(:usselten) privaten Schl\(:ussels gesetzt werden, beide im PEM\-Format\&. In der Praxis wird die Verwendung der rechnerspezifischen Varianten der beiden Optionen w\(:armstens empfohlen\&.
.SH "BEISPIELE"
.sp
.if n \{\
.RS 4
.\}
.nf
Acquire::https {
Proxy::example\&.org "DIRECT";
Proxy "socks5h://apt:pass@127\&.0\&.0\&.1:9050";
Proxy\-Auto\-Detect "/usr/local/bin/apt\-https\-proxy\-auto\-detect";
No\-Cache "true";
Max\-Age "3600";
No\-Store "true";
Timeout "10";
Dl\-Limit "42";
Pipeline\-Depth "0";
AllowRedirect "false";
User\-Agent "Mein APT\-HTTPS";
SendAccept "false";
CAInfo "/Pfad/zu/ca/certs\&.pem";
CRLFile "/Pfad/zu/all/crl\&.pem";
Verify\-Peer "true";
Verify\-Host::broken\&.example\&.org "false";
SSLCert::example\&.org "/Pfad/zu/client/cert\&.pem";
SSLKey::example\&.org "/Pfad/zu/client/key\&.pem"
};
.fi
.if n \{\
.RE
.\}
.SH "SIEHE AUCH"
.PP
\fBapt-transport-http\fR(1)
\fBapt.conf\fR(5)
\fBapt_auth.conf\fR(5)
\fBsources.list\fR(5)
.SH "FEHLER"
.PP
\m[blue]\fBAPT\-Fehlerseite\fR\m[]\&\s-2\u[1]\d\s+2\&. Wenn Sie einen Fehler in APT berichten m\(:ochten, lesen Sie bitte
/usr/share/doc/debian/bug\-reporting\&.txt
oder den
\fBreportbug\fR(1)\-Befehl\&. Verfassen Sie Fehlerberichte bitte auf Englisch\&.
.SH "\(:UBERSETZUNG"
.PP
Die deutsche \(:Ubersetzung wurde 2009 von Chris Leick
in Zusammenarbeit mit dem deutschen l10n\-Team von Debian
angefertigt\&.
.PP
Beachten Sie, dass diese \(:Ubersetzung Teile enthalten kann, die nicht \(:ubersetzt wurden\&. Dies ist so, damit kein Inhalt verloren geht, wenn die \(:Ubersetzung hinter dem Originalinhalt hinterherh\(:angt\&.
.SH "AUTOR"
.PP
\fBAPT\-Team\fR
.RS 4
.RE
.SH "FU\(ssNOTEN"
.IP " 1." 4
APT-Fehlerseite
.RS 4
\%http://bugs.debian.org/src:apt
.RE