Supponiamo che la mia chiave di firma sia stata compromessa e devo revocarla.
Che cosa succede ai changeset e ai tag già firmati? Dovrei riscriverli con la nuova chiave di firma?
What happens to the changesets and tags already signed?
Non succederà nulla a loro - rimangono firmati, ma con la chiave revocata. Le chiavi revocate rimangono sui server delle chiavi (e sui dischi delle persone, se hanno una copia locale), quindi la firma può ancora essere verificata.
Should I rewrite them with the new signing key?
Dipende da cosa vuoi ottenere, ma probabilmente sì. L'intero punto dei tag di firma è di certificare "I (piuttosto: l'onwer della chiave privata) ha davvero creato questo tag."
Revocando la tua chiave stai effettivamente dicendo: "Non fidarti di nessuna firma con questa chiave, potrebbero essere falsificate". Quindi se vuoi dare agli utenti del tuo repository un modo per verificare l'autenticità dei tag, devi firmarli di nuovo.
Nota tecnica:
Non puoi ri-firmare un tag in Git, perché la firma è parte integrante del tag (firmato). Per i dettagli, vedi ad esempio Posso firmare un tag git dopo è stato creato? su stackoverflow.com.
Dovrai creare un nuovo tag e firmarlo con la tua nuova chiave. Nota anche le avvertenze generali sulla modifica / sostituzione dei tag: dovrai creare il tag con un nuovo nome o sostituire il tag esistente. Se esegui quest'ultima opzione, le persone che hanno precedentemente recuperato i vecchi tag dovranno eliminarle manualmente, altrimenti non otterranno i nuovi tag.