История изменений

В обычном SSH при первом подключении тебе дают отпечаток для сравнения. Теоретически ты должен броситься сравнивать отпечаток по стороннему каналу, и только потом соглашаться на полключение. Это неудобно, но не требует дополнительной настройки.

Есть ещё две схемы, сложнее настраивающиеся и проще применяющиеся.

Схема с CA похожа на схему с TLS (применяемом в HTTPS), только проще. Если ты доверяешь CA, он может выдавать сертификаты, т.е. своим приватный ключом подписывать текст со смыслом «мамой клянусь, вот такой у сервера отпечаток». Сервер покажет тебе такой сертификат, ты проверишь, что его подписал CA. Пользователю надо доверять одному CA на кучу серверов. Но админам серверов нужно возиться с ключами, подписыванием, истеканием.

Схема с DNS позволяет задекларировать отпечаток прямо в DNS-записях SSHFP. Однако, чтобы им можно было верить, нужен DNSSEC, иначе это была бы лютая дырень.

не могу найти четкого примера использования в русско язычной части сети

Ты сам знаешь, и в чем твоя ошибка, и как её исправить.

В обычном SSH при первом подключении тебе дают отпечаток для сравнения. Теоретически ты должен броситься сравнивать отпечаток по стороннему каналу, и только потом соглашаться на полключение. Это неудобно, но не требует дополнительной настройки.

Есть ещё две схемы, сложнее настраивающиеся и проще применяющиеся.

Схема с CA похожа на схему с TLS (применяемом в HTTPS), только проще. Если ты доверяешь CA, он может выдавать сертификаты, т.е. своим приватный ключом подписывать текст со смыслом «мамой клянусь, вот такой у сервера отпечаток». Сервер покажет тебе такой сертификат, ты проверишь, что его подписал CA. Пользователю надо доверять одному CA на кучу серверов. Но админам серверов нужно возиться с ключами, подписыванием, истеканием.

Схема с DNS позволяет задекларировать отпечаток прямо в DNS-записях SSHFP. Однако, чтобы им можно было верить, нужен DNSSEC, иначе это была бы лютая дырень.