Как известно, можно посмотреть SSH fingerprint при подключении к серверу. Но часто мы используем ssh клиент на разных устройствах, не имеем списка отпечатков и админим много серверов. В результате часто подтверждаем отпечаток точно не зная, тот ли это отпечаток, а не ssh MIMT.
Очень хорошо было бы поднять свой CA, его сертификат корневой положить на все устройства свои. Далее выписывать с компа, где поднят CA (и есть пароль для него и закрытый ключ) сертификаты на каждый отпечаток SSH. Этот сертификат кладётся на сервер SSH, клиент при коннекте получает сертификат (можно даже тупо в виде текста), сравнивает отпечаток SSH в сертификате с реальным SSH отпечатком, далее подтверждает валидность сертификата на основании корневого сертификата.
Это позволит единожды занести на все устройства корневой сертификат, после чего при коннекте к подписанному SSH-серверу, куда с конкретно этого устройства ещё не подключались, точно знать, что это «свой» сервер.
В случае чего можно иметь ещё использовать список отозванных сертификатов (например, точно известно, что сервер хакнули).
Есть ли какая-нибудь реализация этого? Ведь ничего особо сложно тут нет.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.