Durante este mes se ha publicado
en la lista de Bugtraq una pequeña herramienta vía web que realiza una comprobación paralela a la firma del
certificado que se sirve por
SSH. Esto es útil cuando hablamos de una primera conexión, en la que el
certificado aún no está guardado y
pineado
en la base de datos local del cliente y, por tanto, no puede
garantizarse que sea el servidor correcto. Un atacante podría hacer un
man in the middle y entregar otro certificado
digital.