Pacotes e listas nos repositórios Debian / Ubuntu são assinados por chaves GPG. O transporte não é protegido com SSL (os pacotes são transferidos por cima do FTP simples ou http). Não estou familiarizado com o RHEL / CentOS, mas se os RPMs também forem assinados, o mesmo deve ser aplicado.