Então eu estava atualizando meu sistema Ubuntu 18.04 como de costume, quando notei que os repositórios do apt estão sendo acessados via HTTP. Uma rápida pesquisa na internet confirmou que isso é padrão (pelo menos com o Ubuntu), mas não deu uma resposta ao porquê. Agora eu sei que o apt realiza verificações de assinatura / sanidade dos pacotes, mas ainda assim, por que o HTTPS não é usado?
Na maioria das vezes, os arquivos são baixados de um espelho e não dos servidores Ubuntu, portanto, mesmo que o site ubuntu use HTTPS, você baixará arquivos de sites como http://ubuntu.unc.edu.ar/ubuntu/ ou http://ubuntu.mirror.lrz.de/ubuntu/ .
Para superar esse problema, os arquivos baixados pelo APT possuem uma assinatura que permite que ele seja verificado em relação às chaves públicas armazenadas no seu computador como sendo assinadas pelo Ubuntu e somente pelo Ubuntu.
Na minha opinião, é porque é uma camada não necessária para o efeito! Quero dizer que o https é necessário para criptografar os dados pela rede para evitar o envio de dados confidenciais em texto não criptografado (nunca se autentique no protocolo http). Portanto, não há tráfego para proteger lá, principalmente do código é opensource e pode ser baixado e redistribuite. O que precisa ser protegido é o pacote binário por ele mesmo, mas para isso todo o pacote no repositório é assinado digitalmente, e se a chave pública não estiver instalada no seu gerenciador de pacotes irá notificá-lo que o software que você começa a instalar é veio de um lugar não confiável.