なぜNuGetリポジトリにSSLを使用しますか？

Question

昨日自動ビルドマシンで問題が発生しました。私たちはTFS Buildサーバーを使用していて、NuGetパッケージを自動的にダウンロードしようとしたときに、「潜在的な接続がクローズされました：SSL/TLSセキュアチャネルの信頼関係を確立できませんでした。

なぜこのようなことが起こっているのかについては、ネットの周りにたくさんのスレッドがあります。それは私の質問ではありません。リポジトリがでSSLを使用している理由は、私が知っているしたいのですがどのような

http://nuget.org/api/v2/ 

または

http://packages.nuget.org/v1/FeedService.svc/ 

に

https://nuget.org/api/v2/ 

からあなたNuGetリポジトリを変更することにより、簡単に十分に固定することができます。最初の場所？私はそれが理由のためにそこにあると仮定しますが、私は何が分かりません。セキュリティが必要なログインはありません。安全である必要がある情報は送信されているとは思えません。私は、セキュリティで保護されていない接続（ちゃんと動作する）を使用することによって、私たちが何らかの形でビルドマシンを妥協しないことを確認したいだけです。

セキュリティで保護された接続を使用してNuGetに接続することで得られるものは誰でも説明できますか？

Answer 1

が必要な情報は送信されていないと思います。

nuget.orgと交換する情報には秘密が含まれているため、安全である必要があるためです。 SSLを使用することで、実際にが nuget.orgとなっていることが確実になります。 SSLがなければ、誰かが理論的にあなたに偽のパッケージを与えているかもしれません。それはセキュリティの問題かもしれません。あなたはで発生している問題については

我々は新しいビルドサーバーを使用し始めたとき「SSL/TLSのセキュリティで保護されたチャネルの信頼関係を確立できませんでした」、私たちは同様の問題を持っていた：

GeoTrust Global CA> RapidSSL CA> * .nuget.org

GeoTrust Global CAが新しいビルドサーバで信頼できるCAとして欠落していたため、この問題が解決されました。 （証明書スナップインでMMCコンソールを使用して）信頼されたルートCAのビルドサーバーリストに追加することで簡単に解決できました。

更新：後でサービスで
は、私は同じSSLの問題を経験した、信頼できるCAとしてジオトラストを追加するだけでは問題は解決しませんでした。 にが追加された場合、サーバはhttps://go.microsoft.com/のルートCAにも足りませんでした。これはBaltimore Cyber​​Trust Rootです（https://microsoft.comに行くと、証明書を表示してダウンロードできます）。これを信頼されたルートCAのサーバーリストに追加することで、この問題が解決されました。