Правильный способ использования github, gitlab и тд — проверить fingerprint ssh хоста через их https страницы. То бишь пользователь должен заниматься работой машины. Почему так странно? Там же примерно та же криптография, что и в https.
Если ключ скомпрометируется, это вообще кошмар будет для гитхаба. Ротации ключей в ssh не предусмотрено, клиент тупо будет давать отлуп. Миллионам юзеров придётся ручками удалять строчки из ~/.ssh/known_hosts.
