SSH Zertifikate sind keine offiziellen Zertifikate, sondern spezielle mit ssh-keygen erzeugte Zertifikate (Host- oder User-Zertifikate). Letztlich wird zur Erstellung der Zertifikate einfach ein Schlüsselpaar verwendet, mit dem dann andere Keys (z.B. Host-Keys) signiert werden.

Ein Host-Key ist anonym, damit ist gemeint, der Key selbst enthält keine Informationen zu dem Host auf dem er verwendet werden soll. Ein Host-Key enthält nur die technischen Informationen die für den Key-Algorithmus notwendig sind. Ein Private Host-Key, der von einem Angreifer erbeutet wird, kann prinzipiell auf einem beliebigen anderen Rechner als Host-Key verwendet werden.

Host-Keys haben eine Reihe von Nachteilen, unter Anderem die folgenden:

• • Ein Host-Key besitzt eine unbeschränkte Gültigkeitsdauer.
  • Ein Host-Key enthält keine Informationen zu dem Host auf dem er verwendet wird. Die Gültigkeit eines Host-Keys kann damit nicht auf einen Host eingeschränkt werden.

Die Verwendung von SSH Host-Zertifikaten löst diese Probleme und führt damit zu mehr Sicherheit.