Mondjuk erre - az első csatlakozás előtti validációra - ott van az SSHFP rekord, de gyakorlatban nem igazán láttam még használni. Ha be van állítva és a kliensed is tudja (VerifyHostKeyDNS opció az ssh-nak, default no) akkor teljesen automatikus. Jó ha van DNSSec is a domainen, hogy ne lehessen hamisítani a választ.
BTW van SSH alatt is CA támogatás, de kicsit félrevezető a neve, köze nincs a PKI-hoz és az authentikációt tudod vele biztonságosabbá tenni, nem a túloldal validálásra való.