<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 6, 2024, 10:42 PM Cristian Rodríguez <<a href="mailto:cristian@rodriguez.im">cristian@rodriguez.im</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Jun 6, 2024 at 10:16 PM Nikolaos Chatzikonstantinou via c-ares<br>
<<a href="mailto:c-ares@lists.haxx.se" target="_blank" rel="noreferrer">c-ares@lists.haxx.se</a>> wrote:<br>
<br>
> Nice! As soon as I tried to demonstrate it, both the signature and the<br>
> contents were mangled by gmail. Well, you know what, just attach a<br>
> signature file with `gpg --sign --detach`. Sigh, how comedic.<br>
<br>
This stuff ..is broken internet-wide. so no surprise.<br>
It doesn't matter anyway. people should pull releases from signed git<br>
tags instead and reject stuff not signed by the release managers.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Yes, that will do it, so e.g. a signed tag on a commit that includes a NEWS entry on new dev keys introduced, or a signed tarball release.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>