<div dir="ltr">The irrational suggestion that maybe some participants might be less willing to mirror secure resources is absurd - if anything, it will be the opposite - no security-conscious service is going to want to be associated with distributing insecure binaries.<div><br></div><div>Please stop making this worse - if you can't or don't want to fix it, go away and assign this to someone who cares about our security.</div><div><br></div><div>Like I said in my report - CentOS is not secure during installation or build, because missing and mismatched signatures exist and are ignored.  Distributing files from insecure servers is a vector that makes those oversights exploitable.<br><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 10, 2021 at 12:19 AM Manuel Wolfshant <<a href="mailto:wolfy@nobugconsulting.ro">wolfy@nobugconsulting.ro</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2/9/21 4:10 PM, Rich Bowen wrote:<br>
><br>
><br>
> On 2/9/21 1:09 AM, Chris Drake wrote:<br>
>> 1. Your info page here:<br>
>><br>
>> <a href="https://wiki.centos.org/FAQ/CentOSStream#Where_is_the_source_code.3F" rel="noreferrer" target="_blank">https://wiki.centos.org/FAQ/CentOSStream#Where_is_the_source_code.3F</a> <br>
>> <<a href="https://wiki.centos.org/FAQ/CentOSStream#Where_is_the_source_code.3F" rel="noreferrer" target="_blank">https://wiki.centos.org/FAQ/CentOSStream#Where_is_the_source_code.3F</a>><br>
>><br>
>> links to an insecure download resource: <br>
>> <a href="http://mirror.centos.org/centos/8-stream/" rel="noreferrer" target="_blank">http://mirror.centos.org/centos/8-stream/</a> <br>
>> <<a href="http://mirror.centos.org/centos/8-stream/" rel="noreferrer" target="_blank">http://mirror.centos.org/centos/8-stream/</a>><br>
><br>
> As a question that gets asked several times a year, it would be great <br>
> if someone could update that entry on the wiki (or perhaps link to <br>
> somewhere that it's been addressed) to reflect *why* this is http and <br>
> https?<br>
<br>
Done<br>
<br>
<br>
<br>
><br>
> In short, it's because downloads are hosted on a mirror network, where <br>
> we cannot mandate that every mirror node run SSL/TLS. Well, I suppose <br>
> we *could*, but traditionally we have not done so, as the additional <br>
> requirement is likely to reduce the number of willing participants in <br>
> that mirror network. <br>
<br>
</blockquote></div>