Die Überprüfung von SSH Host-Keys und SSH Host-Zertifikaten findet auf dem SSH Client statt. D.h. ein Widerrufen von Keys und/oder Zertifikaten muss dementsprechend auch auf dem Client statt finden. Hierzu bietet SSH die Möglichkeit über das Keyword RevokedHostKeys eine sogenannte Key Revocation List (KRL) anzugeben. Die KRL kann entweder als reine Textdatei manuell gepflegt werden, oder als binäre Datei im OpenSSH Format mit dem Kommando ssh-keygen. Wichtig ist in beiden Fällen das die mit RevokedHostKeys angegebene Datei existieren und für den Benutzer lesbar sein muss! Ansonsten verweigert das ssh Kommando den Dienst:

user01@client01 $ ssh server01
Error checking host key ED25519-CERT SHA256:kaIQuZjLc0sLh52GuBOJYHMycpmv/frARAyejq+koOA in revoked keys file /home/user01/.ssh/revoked_keys: Permission denied
Host key verification failed.
user01@client01 $ rm .ssh/revoked_keys
rm: remove write-protected regular file '.ssh/revoked_keys'? yes
user01@client01 $ ssh server01
Error checking host key ED25519-CERT SHA256:kaIQuZjLc0sLh52GuBOJYHMycpmv/frARAyejq+koOA in revoked keys file /home/user01/.ssh/revoked_keys: No such file or directory
Host key verification failed.
user01@client01 $ 

Hinweis: Im Beispiel wurde eine private KRL eines Benutzers gezeigt. Realistischer ist eine globale KRL, die dann von allen Benutzern lesbar sein muss.