А в чем суть проблемы? На момент подписания ключ был действителен, значит подпись валидная. Когда новая подпись истечет, вы тоже потребуете заново весь гитхаб переподписать?
Как только время жизни ключевой пары истекает, то ею уже нельзя верифицировать или дешифровать сообщения подписанные этой ключевой парой. Тоесть не известно было подписано этим ключом или нет. Так в PGP.