В настоящий момент не существует способа проверить, являются ли сервер и клиент теми, за кого себя выдают. Поэтому в TLS договорились, что сервер и клиент не доверяют друг другу, а доверяют нескольким центрам сертификации (их называют корневыми), которые и поддтверждают подлинность сервера (за это отвечают удостоверяющие и выпускающие ЦС). Сервер отправляет свой открытый ключ в УЦ, а в замен получает сертификат.
А возможно ли что-то подобное реализовать в SSH? Чтоб не носить с собой Fingerprint открытого ключа каждого сервера.
WSGlebKavash, бонусом можно добавить, что существует тип записи для доменного имени, SSHFP. Он предназначен для хранения в dns отпечатка ключа сервера ssh. Ну, а отсутствие ребиндинга можно контролировать через dnssec
Простой
Средний
