<div dir="ltr">Of course you could use HTTPS as well which should make it secure:<div><br></div><div>gpgkey = <a href="https://mypulpserver/pulp/keys/epel.key">https://mypulpserver/pulp/keys/epel.key</a></div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 8, 2016 at 2:18 PM, Jeremy Cline <span dir="ltr"><<a href="mailto:jcline@redhat.com" target="_blank">jcline@redhat.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">This scenario is insecure. Serving the GPG key over HTTP leaves it<br>
vulnerable to a man-in-the-middle attack. You could serve it over<br>
HTTPS, and this is sometimes done, but I'm not sure what you gain from<br>
it. Accepting the GPG key from the server can only be done if you trust<br>
the server, but checking the signatures on the packages provided by the<br>
same server indicates you _don't_ trust the server.<br>
<br>
I recommend using a configuration management tool like Ansible to<br>
distribute the GPG key over a trusted channel if you want to serve<br>
content over HTTP.</blockquote></div></div></div></div>