<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Jan 3, 2015 at 10:49 PM, Christoph Anton Mitterer <span dir="ltr"><<a href="mailto:calestyo@scientia.net" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=calestyo@scientia.net&cc=&bcc=&su=&body=','_blank');return false;">calestyo@scientia.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> It's not because SSH supports an X.509-like CA system<br>
</span>??<br></blockquote><div><br></div><div><a href="https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu">https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu</a></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> Do you actually verify key fingerprints<br>
</span>Sure.<br>
<br>
> and if so, how?<br>
Well depends... for nodes which I've installed manually, I extract them<br>
locally,... automatically installed nodes are in a securely switched<br>
VLAN, so as soon as I have a secure path to that (e.g. via a login node)<br>
I securely reach the node in question.<br>
For remote nodes I contact their admins for the fingerprints (that's<br>
e.g. how I access CERN),... for some others one may find the<br>
fingerprints on other "secure" paths (e.g. github gives them on their<br>
https website, so if you trust that, you can also trust the<br>
fingerprint).</blockquote><div><br></div><div>You are the vocal minority </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>