SSH kann bei Verbindungsaufbau zu einem Host den Fingerprint per DNS überprüfen (RFC4255). Damit dies funktioniert, müssen in der DNS Zone der Domain zwei weitere Records hinzugefügt werden
ssh-keygen -r mx02.blog.cscholz.io mx02.blog.cscholz.io IN SSHFP 1 1 c499d111c4eb4065e5d2b8c31408e14ff6b251cd mx02.blog.cscholz.io IN SSHFP 2 1 c139abd44b93256ef9664d95ef4b29d0f5f28e96
Anschließend muss die Überprüfung für den SSH-Client noch über die Datei.ssh/config bzw. /etc/ssh/ssh_conf aktiviert werden.
Host * StrictHostKeyChecking ask VerifyHostKeyDNS ask
Das Ergebniss ist dann
ssh mx02.blog.cscholz.io The authenticity of host '[mx02.blog.cscholz.io] ([83.169.42.112])' can't be established. RSA key fingerprint is d7:d1:cb:3e:bd:18:57:da:94:c3:79:b2:7b:72:e7:bf. No matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)