<div dir="ltr"><div>Hi All! Congratulations to the CentOS Team! Great handcraft! I am impressed! <br></div><div><br></div><div>While trying to the verify the downloaded stuff - my mental questions got answered by my self. So, no need to ask the list but this introspection shows a hidden workflow that is not so streamlined, but very crucial. So, I let it go ...   <br></div><div><br></div><div></div><div>As mentioned I wanted to verify the downloaded stuff  and wonder where to find a trusted source for the RPM-GPG-KEY-CentOS-8 key file (yes, -8)? Okay its here <a href="https://www.centos.org/keys/">https://www.centos.org/keys/</a> and and the trust-level is based on TLS. <br></div><div><br></div><div>But I still have some questions marks:<br></div><div><br></div><div>- We all use gpg2, right? So the/my first  check will go through gnupg, but GPG keyservers are not the first choice because everyone can upload keys but there are some efforts to have the identities at least verified <a href="https://keys.openpgp.org/about/news#2019-06-12-launch">https://keys.openpgp.org/about/news#2019-06-12-launch</a> . Maybe a good idea to have full key informations (verified) for all CENTOS-Keys also there? <br></div><div><br></div><div>so I switched to</div><div><br></div><div>- <a href="http://mirror.centos.org/centos/">http://mirror.centos.org/centos/</a> via HTTP without TLS upgrade. <br></div><div>So, also not a source. Is it planned to lift this up to https-only?</div><div>BTW, no RPM-GPG-KEY-CentOS-8 under <a href="http://mirror.centos.org/centos/">http://mirror.centos.org/centos/</a></div><div>Ah, its RPM-GPG-KEY-CentOS-Official (another flow break). <br></div><div><br></div><div>I ended up here<br></div><div><br></div><div> - WWW via TLS </div><div><br></div><div>  as mentioned above <a href="https://www.centos.org/keys/">https://www.centos.org/keys/</a></div><div>  and <a href="https://wiki.centos.org/Download/Verify">https://wiki.centos.org/Download/Verify</a></div><div><br></div><div>while the latter suggest wget over http:// (I known the fingerprint is <a href="https://wiki.">https://wiki.</a>..-TLS protected). the wiki is still CentOS7 specific. From the usability point of view there is a forced translation needed from the user (my/users goal has CentOS8 as target).</div><div><br></div><div>So the only trusted source is <a href="https://www.centos.org/keys/">https://www.centos.org/keys/</a> with <a href="https://www.centos.org/keys/RPM-GPG-KEY-CentOS-Official">https://www.centos.org/keys/RPM-GPG-KEY-CentOS-Official</a> for CentOS8. <br></div><div><br></div><div>Finally, this would speed up this crucial part of verifying to new distro stuff (ISO etc.):<br></div><div><br></div><div>Suggestions: Generalized <a href="https://wiki.centos.org/Download/Verify">https://wiki.centos.org/Download/Verify</a> content and a included link to <a href="https://www.centos.org/keys/">https://www.centos.org/keys/</a> (actually missing), and the same URI could be added to the CHECKSUM.asc file. Maybe its also a good best practice to have the fingerprints and the key files in two different realms too?</div><div><br></div><div>BTW, the wiki search result for gpg, pgp or keys does not bring "Download/Verify" as the first entry. Can this be upvoted or tagged?<br></div><div><br></div><div>Just thinking loud.</div><div>Thanks,<br></div><div>Leon<br></div><div><br></div><div><br></div><div><br></div><div><div><div> <br></div><div> <br></div></div></div></div>