Názor k článku Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS? od Ondřej Caletka - Pokud vím jediný systém, kde SSHFP funguje správně...

Pokud vím jediný systém, kde SSHFP funguje správně s DNSSEC je Fedora (coby leader v DNSSEC :) ). Mají tam speciální patche v libc stub resolveru a ssh klientovi, které mu umožňují ověřit, zda dostal DNSSEC podepsanou odpověď a pokud ano, napíše prostě že klíč serveru souhlasí s otiskem v DNS a na nic se neptá.

Na ostatních distribucích zapnutí volby VerifyHostKeyDNS způsobí jen vypsání hlášky o nalezení/ne­nalezení otisku klíče v DNS, ale uživatel stejně musí potvrdit, jestli se opravdu chce připojit. To je riziko pro neparanoidní uživatele, kteří napíšou yes, aniž by se vůbec podívali, co jim to napsalo :)