Tailscale SSHは、SSHキーを管理することなく、アクセス制御によって認可されたtailnet内のデバイス間にSSH接続を確立し、VPNトンネルであるWireGuardを使用してSSH接続を認証できる。
なお、rootでの接続のようなより機密性の高い高リスク接続の場合は、SSH接続を確立する前にSSOでの再認証が必要となる、チェックモードも用意している。
Tailscale SSH接続は、接続元デバイスのTailscale IDに基づいて認証され、Tailscaleは可能な場合は公開SSHホストキーもクライアントに配布するため、SSHクライアントは接続先のホストを認識することができる。tailnetのACLで定義したアクセスルールに基づいて認可され、接続元デバイスと宛先デバイスの公開ノードキーを使用して、WireGuardによって暗号化される。
既存のIDプロバイダと連携するので、どのキーがどの個人およびデバイスに対応するかが明確になるとともに、Tailscaleがキーを配布するため、キーを簡単にローテーションおよび再配布できる。ノードキーは、デバイスを再認証することで毎日ローテーションを可能にしている。