<div dir="ltr">Certainly got can sign individual tags with an OpenPGP key. Each commit is also hashed and the hashes are known. If you sign every commit, or at least every release, the code can't be tampered with. This is the workflow of, for instance, the Linux kernel. That being said, with free TLS certificates from letsencrypt, I'd expect lots of sites to switch to https. For one thing, it's more versatile, since authorized users can push as well. With the git:// protocol, users can only pull.</div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr">On Tue, Feb 23, 2016, 12:08 AM Jason A. Donenfeld <<a href="mailto:Jason@zx2c4.com" target="_blank">Jason@zx2c4.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Feb 23, 2016 at 2:19 AM, Eric Wong <<a href="mailto:normalperson@yhbt.net" target="_blank">normalperson@yhbt.net</a>> wrote:<br>
> I suggest keeping git:// running as automated mirrors may not be<br>
> monitored very closely or easily updated.<br>
<br>
That's a good point. I'd forgotten about automated mirrors. I'll keep<br>
logs of the git:// pulls for a month or so and see if there are any<br>
regular pullers and also if I can track down the source IP. Perhaps<br>
it's a manageable pool of people to switch over.<br>
<br>
> git already has plenty of integrity checking built-in and<br>
> getting the proper hashes for the heads/tags over a<br>
> trusted-enough medium is enough (or reading the fine code).<br>
<br>
No, git's built-in integrity protection really is not sufficient if<br>
the transport is compromised.<br>
<br>
> And as others have said, HTTPS isn't impenetrable<br>
<br>
I'd like some specific details on this repeated claim.<br>
<br>
> the CA system is still a major problem.<br>
<br>
True. But there doesn't appear to be a widely deployed alternative.<br>
<br>
> Also, TLS libraries can introduce new bugs and vulnerabilities<br>
> like Heartbleed.<br>
<br>
This is true, but I already require a public TLS deployment, so it's<br>
there regardless.<br>
_______________________________________________<br>
Password-Store mailing list<br>
<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>
<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/mailman/listinfo/password-store</a><br>
</blockquote></div>