¿Existen ventajas o desventajas al usar la nueva clave para volver a firmar las claves de terceros que firmé anteriormente con la clave anterior? Estas claves de terceros aún son accesibles desde la mía en la Web of Trust, debido a que he firmado mi antigua clave con mi nueva clave, pero no las volvería a firmar las haría más accesibles para otros, al reducir el total longitud de la ruta?
Si revoca su clave anterior (después de un tiempo), perderá muchas conexiones en la web de confianza si no vuelve a firmar otras claves.
Si desea volver a firmarlos o no al final, depende de su propia política. No hay ninguna decisión al respecto, la especificación OpenPGP ni siquiera menciona reglas específicas sobre la emisión de certificaciones.
Si vuelvo a firmar las claves, ¿es importante verificar manualmente las huellas digitales nuevamente, en caso de que la clave se haya perdido o se haya comprometido? ¿O es aceptable volver a firmar de forma predeterminada?
Al observar las huellas dactilares, no podrá decidir si una clave se ha perdido o está comprometida: tendrá que ponerse en contacto con el titular de la clave nuevamente. Si quieres hacer este esfuerzo adicional depende de ti. GnuPG se abstendrá de firmar las claves revocadas, de todos modos (asegúrese de actualizarlas antes de firmar). Por otro lado, emitir una nueva certificación podría considerarse como una nueva declaración "Estoy seguro de la identidad del titular de la clave" y está relacionado con una marca de tiempo: aún está seguro de cómo verificó la identidad, qué ID de usuario seleccionó para firmar ( puedes consultar esto) y por qué (esto se volverá más difícil)?
No me importaría verificar las huellas dactilares, sino usarlas para hacer referencia a las llaves de otros directamente. Dicha lista se puede derivar mediante un script simple y se puede usar directamente para firmar claves, caff
podría proporcionar Una interfaz más fácil para esto.
Personalmente, solo me importaría firmar con las personas que conozco bien y con las que me preocupo.