<div dir="ltr"><div dir="ltr">On Mon, Jan 12, 2026 at 8:27 PM Ross Finlayson <<a href="mailto:finlayson@live555.com">finlayson@live555.com</a>> wrote:</div><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Note that if you are concerned about the integrity of our source file tarball, we also provide a SHA1 fingerprint ("live555-latest-sha1.txt”) which you can use to compare against running “sha1” on the “.tar.gz” file.<br></blockquote><div><br></div><div>This provides zero integrity guarantees when the SHA1 file is also distributed by the same unverifiable HTTP connection.</div><div><br></div><div>You could put an HTTPS website on port 8443 for distributors while maintaining your firewall-avoiding sshd on port 443 with minimal technical difficulty. Or you could use <a href="http://web.live555.com">web.live555.com</a>, where you already have a normal HTTPS on port 443 with valid certificate. Or, as you appear to be using AWS, you could use CloudFront.</div><div><br></div><div>Regards,</div><div><br></div><div><br></div><div>Stu. </div></div></div>