¿Por qué ha sucedido esto? ¿No debería la clave antigua simplemente ser reemplazada por la actualizada?
En OpenPGP (al menos para las claves de la versión 4), la fecha de caducidad no se almacena en el paquete de claves en sí, sino en firmas vinculantes (autofirma) en las claves. Los cambios en la fecha de caducidad (y otros atributos) se realizan distribuyendo una versión nunca de la firma de enlace, que luego reemplaza a la anterior.
Como los servidores clave solo realizan la verificación parcial de firmas (si las hay), mantienen todas las versiones disponibles y hacen que los clientes de OpenPGP realicen la verificación (y elijan la firma de enlace válida más reciente y, por lo tanto, la fecha de caducidad). Además, ofrece un tipo de historia de la clave.
Esto también se discutió hace algunos años en la lista de correo de GnuPG , también vinculando un ejemplo que muestra las firmas de enlace duplicadas que se produjeron al cambiar la fecha de caducidad:
sub 1024D/2D16624C 2003-05-13
sig sbind FFFD5DA0 2003-05-13 __________ __________ []
sig sbind FFFD5DA0 2003-05-14 __________ 2007-05-13 []
sig sbind FFFD5DA0 2011-03-06 __________ 2013-05-13 []
Los clientes OpenPGP como GnuPG generalmente descartarán (u ocultarán) las versiones anteriores después de verificar las firmas vinculantes.
¿Puedo asegurarme de que mi clave publicada caducará en la nueva fecha correcta que establezco?
Sí, los clientes de OpenPGP seguirán la autofirma más reciente disponible y considerarán que las antiguas han sido reemplazadas.