## SSH 证书：摘要 这次 Hacker News 的讨论集中在使用 SSH 证书与传统 SSH 密钥的优缺点。许多评论员抱怨大型组织仍然依赖密码进行 SSH 访问，尽管基于密钥的身份验证提供了安全性和效率方面的优势。 虽然 SSH 密钥很好，但证书具有集中管理、更轻松的密钥轮换以及实施短寿命凭据以增强安全性的优势。然而，实施强大的证书颁发机构 (CA) 基础设施可能很复杂，并且人们对管理 CA 本身以及处理吊销提出了担忧。 几个要点浮出水面：使用硬件支持的密钥（如 YubiKey）来保护私钥的重要性、共享密钥被滥用的可能性，以及在身份验证之外对用户和访问管理进行有效管理的需求。一些人提倡替代方案，如 Kerberos 或 Userify 等工具，旨在简化 SSH 访问控制，而无需证书的全部复杂性。 最终，最佳方法取决于特定的环境和安全需求。虽然证书并非万能药，但它们在经过深思熟虑的实施后，可以为提高 SSH 安全性提供强大的工具。