Sehr fein. Da wir ja nun DNSSEC haben und dem auch vertrauen, können wir gemäß RFC 4255 den Fingerprint unseres Hosts im DNS veröffentlichen:
In ~/.ssh/config noch schnell ein VerifyHostKeyDNS ask reingeworfen, und schon wird der Fingerprint aus dem DNS verwendet: