Sofern man selbst SSHFP-Einträge im CCP für die dort verwalteten Domänen anlegt, sieht man die key fingerprints dort ja auch; verwendet man nicht-öffentliche Einträge/eigene Nameserver, lassen sich diese zumindest explizit manuell abfragen:
und wo soll ich die keys herholen die ich da eintrage, ich generiere die ja nicht sondern Netcup (also bei den servern von bspw webhosting)
Und die PubKeys der User bekommst du über unsichere Kanäle zugesandt, die du dann blind akzeptierst? Ich denke nicht.
zu ende lesen. es wurde gesagt:
Somit ist da kein "sicherer Kanal" im Sinne von Vertraulichkeit nötig.
ich hab mal markiert.
solange du sicherstellen kannst, dass die information echt ist bspw signatur oder telefongespräch was weiß ich, braucht man keine geheimhaltung bsow verschlüsselung, da es nur um pubkeys geht.
die Idee dass Netcup bei seinen eigenen SSH instanzen den serverpubkey mal irgendwo fallen lässt wäre ja schon geil da man selbst ohne SSHFP zumindest manuell nachschauen kann und im ccp hat man ja HTTPS also (zumindest einigermaßen) einen sicheren kanal
Fehlt nur noch ein Admin, der sich genauso verhält und jeden unsicher übertragenen PubKey blind akzeptiert
kriegst du bei den meisten hostern mit SSH Support, da man die server pubkeys nicht zu sehen bekommt