Bei Ablauf Deines Schlüssels musst Du die Gültigkeit des Schlüssels verlängern, den daraufhin generierten, neuen Schlüssel exportieren, den abgelaufenen Schlüssel in Deinem GitHub-Konto löschen und den neuen Schlüssel auf GitHub hochladen. Deine bisherigen Commits und Tags werden als verifiziert angezeigt, sofern der Schlüssel alle anderen Verifizierungsanforderungen erfüllt.
Wenn Dein Schlüssel ungültig ist und Du keinen anderen gültigen Schlüssel Deines Schlüsselsatzes verwendest, sondern stattdessen einen neuen GPG-Schlüssel mit einem neuen Satz an Anmeldeinformationen generierst, werden Commits, die Du mit dem widerrufenen oder abgelaufenen Schlüssel durchgeführt hast, weiterhin als nicht verifiziert angezeigt. Auch kannst Du mit den neuen Anmeldeinformationen die alten Commits und Tags weder neu signieren noch verifizieren.