>>/259/
> и не может если есть https
Реализация HTTPS/TLS в популярных браузерах делает защиту от митма весьма условной. Внедрение DANE и HPKP, призванных решить проблему слепого доверия CA фактически саботировано, взамен предлагают security theater-булшит вроде списков CT от корпораций добра и CAA-записей, которые браузеры, как было бы логично, не проверяют, а CA может взять и проигнорировать несоответствие, просто потому что может. С отзывами скомпрометированных сертификатов тоже печаль-беда.
> Хееши вообще используют не для подписей
Конечно не используют. Это и невозможно, в общем-то, у них другая роль в проверке аутентичности. Лучше всего полагаться на публичный ключ, полученный из доверенного источника, сверенный с другими независимыми источниками и подписанный другими ключами, что в сумме значительно снижает вероятность митма.
> В дебиан репах подписи к пакетам придумал не для маня защиты, а потому что долгое время не было https от слова никак
А хттпс зачем тогда нужен, кроме как для "маня защиты", которая из него что с говна пуля?