<div dir="ltr"><div dir="ltr">On Tue, Jan 2, 2024 at 7:23 PM bsimpson <a href="http://nvastro.com">nvastro.com</a> <<a href="mailto:bsimpson@nvastro.com">bsimpson@nvastro.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">



<div dir="auto">
<span style="font-size:16px;font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;background-color:rgb(255,255,255)">What </span><span dir="ltr" style="font-size:16px;font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif"><a href="http://letsencrypt.org" target="_blank">letsencrypt.org</a></span><span style="font-size:16px;font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;background-color:rgb(255,255,255)"> provides
 is the way to certify a website and I use them for my website.  However I don't believe they have anything to do with certifying a package that you download from a website.  I need to certify my code.</span></div></blockquote><div><br></div><div> LetsEncrypt was my first thought as well, but I quickly realized it won't work for your situation.  A signed package encrypts a footprint of the file (such as a hash) with the site's private key.  The user verifies the file by decrypting the footprint with the site's public key and making sure nothing has changed.</div><div dir="ltr"><div><br></div><div>Since LetsEncrypt only gets you a 90-day cert before it expires (requiring frequent renewal), you'd have to rebuild your package every three months, and old copies of the package would fail authentication.</div><div><br></div><div>I'm not aware of any free services that provide a long-term certificate.  You'll probably have to pay for one.</div><div><br></div><div>Regards,</div><div>Steve</div></div></div></div>