GitLab utilise une clé GPG pour signer les métadonnées des différents dépôts apt et yum utilisés pour distribuer les paquets omnibus-gitlab et gitlab-runner officiels afin de garantir l'intégrité des paquets, en plus des paquets eux-mêmes qui sont signés par une clé distincte.

La clé actuelle utilisée pour la signature des métadonnées, avec l'empreinte F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F , devait expirer le 27 février 2026 et a été prolongée jusqu'au 6 février 2028.

La date d'expiration de la clé de signature des métadonnées du dépôt est prolongée périodiquement pour satisfaire aux politiques de sécurité de GitLab et pour limiter l'exposition en cas de compromission de la clé. Au lieu de remplacer la clé, la date d'expiration de cette dernière est prolongée afin de limiter les perturbations pour les utilisateurs, car un remplacement obligerait tous les utilisateurs à mettre à jour leur clé.

Que dois-je faire ?

Si vous avez configuré les dépôts GitLab sur votre machine avant le 17 février 2026, veuillez consulter la documentation officielle : Comment récupérer et ajouter la nouvelle clé.

Si vous êtes un nouvel utilisateur, vous n'avez rien à faire, si ce n'est de consulter la page d'installation de GitLab ou la documentation d'installation de gitlab-runner.

Des informations supplémentaires concernant la vérification des signatures des métadonnées du dépôt sont disponibles dans la documentation Omnibus. Si vous avez simplement besoin d'actualiser une copie de la clé publique, vous pouvez la trouver sur l'un des serveurs de clés GPG en recherchant [email protected] ou en utilisant l'ID de clé F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F .

Vous pouvez également la télécharger directement depuis packages.gitlab.com en accédant à l'URL https://packages.gitlab.com/gpg.key .

Que faire si j'ai besoin d'aide supplémentaire ?

Veuillez ouvrir un ticket dans le suivi des tickets omnibus-gitlab.