Здравствуйте, netch80, Вы писали:

vsb>>Проблем, собственно, две. Первая это предотвращение MITM. Для этого нужно быть уверенным в том, что на том конце действительно сервер, а не злоумышленник. В HTTPS это решается с помощью УЦ. В SSH метод решения перекладывается на пользователя. Который в лучшем случае сверит отпечаток ключа с эталонным, полученным через тот же HTTPS, в худшем случае (думаю, это 90% программистов) вообще ни с чем сверять не будет. Вторая проблема это смена ключа при его компрометации, про это я написал в первом сообщении.

N>Повторюсь — SSHFP записи в DNS. Вместе с DNSSEC это даёт такую же надёжную иерархию, как и с X.509, но в роли УЦ выступает вся DNS система.
N>Стандартный openssh клиент умеет SSHFP по умолчанию.

DNSSec требует клиентской конфигурации? Если нет, то не понятно, почему ни у github ни у gitlab этого нет.

А вообще с DNSSec в теории и УЦ не нужны. Но на практике браузеры не поддерживают, видимо есть до сих пор не решённые проблемы с этим.