<div>Hi,</div><div>Recently I was working on creating a <a href="https://github.com/yihui/tinytex/issues/235">Chocolatey Package</a> for TinyTeX along with <a href="https://github.com/yihui">@yihui</a>. I was successful in <a href="https://github.com/yihui/tinytex/pull/236">creating one</a> and pushing it to Chocolatey over here <a href="https://chocolatey.org/packages/tinytex">https://chocolatey.org/packages/tinytex</a>. After that, there were quite a few problems in the reviewing process. The reviewer asked me to add Checksum for the downloaded files. After that, I was in the process of adding it but found something weird, the checksums changes from CTAN mirror to another.</div><div> </div><div>For example, I had tried with my PC and also in VPS. I got it redirected to two different locations (as expected) but the checksums didn't match for both. I checked for sha512 hashes and also copied the URL.</div><div>In the first case, it redirected to <a href="http://ctan.mirrors.hoobly.com/systems/texlive/tlnet/install-tl.zip">http://ctan.mirrors.hoobly.com/systems/texlive/tlnet/install-tl.zip</a> and had checksum as<pre>6cac9cbf2c6547db82cb7647e34586c2b2f34431b44a12f081b7430bf8b6237f036b3e01d07f13d936660e4ff0147cea147e2d9a4c4345485d2cf347845f4e98  </pre> In the second case, it redirected to <a href="http://mirrors.ibiblio.org/CTAN/systems/texlive/tlnet/install-tl.zip.sha512">http://mirrors.ibiblio.org/CTAN/systems/texlive/tlnet/install-tl.zip</a> and had the checksum<pre>47c3406fecf8a05b3d7a1ecef52c13d6378b6f7e845df24264837a6ed6f69c7e714e8926ab08f9cc3c59f97038af255eb2e0c0628c87220d33387ef14a35367e</pre><div>This creates anonymity that loses the Genuity of the package as we couldn't know whether it is the correct package or not. Also, not to say it was told in review comments also</div><blockquote><div>If the checksum is changing based on which mirror is selected at installation time, that can only mean that I, as the installing user, are not getting exactly the same application installer, otherwise, why would the checksums be different. As an installing user, I can't trust that the application being installed is the one that I wanted/expected.</div></blockquote></div><div><br />I need to know when is the file updated so that I can update the checksum in the chocolatey package. Is there any period of time when you guys update that or are there anywhere which have historic release history? Also, I find you guys having a Github Repository, for the installer, <a href="https://github.com/TeX-Live/installer">https://github.com/TeX-Live/installer</a>, It would be nice if you guys make a release there so it would be easier for maintaining that package.</div><div><pre>
 </pre></div><div>Cheers,</div><div>Naveen</div><div><a href="https://github.com/naveen521kk">@naveen521kk</a></div>