Github 为什么会允许任何人下载你的 public key?

@julyclyde 你还是没明白哪

公钥，不管是SSH公钥也好SSL公钥也好。公钥的目的就是鉴别身份。
比如我的公钥是AABB，那你怎么知道AABB这个公钥就是我的？
当然是公开传播以后你才知道。而且是公开范围越大，知道得人越多，才越能证明我的公钥的可信度。
最好是有著名网站、著名机构为公钥背书，这样公钥的可信度就越大。

比如GPG就是把公钥上传到GPG的服务器去。而且通常这还不够，还需要现实生活中的其他朋友为你背书，说，大家看，这个GPG公钥，真的就是某某他本人的公钥。
SSL证书也是这样，要各大SSL机构为其背书，说，大家看，这个SSL证书是我签的，我能证明这张证书背后的就是某某网站本身。

同理这里SSH公钥也是这样。用户把公钥保存在GitHub服务器上，本身GitHub与用户之间就有鉴权行为，保证公钥只能由用户本人上传。那么本质上来说GitHub就是在为用户公钥的真实性背书了。对于第三方来说，确权行为不再需要用户本人参与，而直接找GitHub背书过的公钥就行了。

以上这些就是我从17楼发言往下的推论。推出的结果和29楼没什么太大的区别。

另外你说的「如果有心指点，就直接举出来」，而我确实就是这么做了。27、28楼，楼主确认了提问的主题以后我在5分钟内就针对问题给出了结果，不知你有何不满意的。
楼主的提问明显的没有抓准重点，导致后面一排人歪楼。如果90%的读者都无法抓住你提问的重点，请问是90%的人语文水平都不合格，还是楼主没有好好表达清楚呢？

@msg7086 你在前面的回复里并没有表达github的CA角色，这正是我批评你的表达的点

另外，github这个CA角色，虽经你提起，我有了些理解，还是认为这用途太窄了，实在不值去做

@julyclyde 您批评得好，请收下我的膝盖。