为什么 GitHub 的提交记录没有显示“已验证”（签名提交）？

在2020年秋季的某个时间点，可能是10月1日至20日之间，GitHub改变了他们处理GPG密钥提交验证rebase的方式，其中仅更改了git COMMITTER_DATE。
因此，以下是我的正常用例流程：

1. 我发现一个未发布功能的提交中存在一个非常小的问题。
2. 我将其提交，然后rebase掉短暂的修复提交。
3. 由于已经过去了一天以上，GitHub会将我对原始文件的活动报告为今天发生的。
4. 我通过执行git rebase --committer-date-is-author-date <HASH>来解决这个问题，这将重置GitHub文件修改日期为提交的日期时间，而不是今天/现在。

在10月20日之前，我从未在执行这些步骤时遇到过任何问题，已经有超过8年的时间了。
现在，突然间，GitHub正在显示所有涉及此rebase的提交都未经验证。

您可以在https://github.com/hopeseekr/BashScripts/commits/fucked_up_gpg_verifications上自行查看。

报告的错误是什么？“没有用户与提交者电子邮件相关联。”这显然是荒谬的，因为所有提交都共享相同的电子邮件地址，并且它是该帐户上的主要地址。

你无法对通过GitHub网页界面创建的提交/标签进行签名。只有本地提交/标签可以被签名。

这是因为签名密钥由两部分组成——公钥和私钥。私钥绝不能离开你的计算机。

公钥可以加密数据，私钥可以解密数据，这样只有你才能读取加密数据。私钥可以签署数据，公钥验证签名，这样只有你才能使用你的密钥进行签署，但任何人都可以验证你的签名。

当你上传GPG密钥到GitHub时，你只上传公钥，因此GitHub只能验证已签名的提交/标签，但不能对它们进行签名。

并不完全如此。如果你在GitHub.com网站上提交某些内容（例如通过点击铅笔图标编辑README.md文件，然后再点击GitHub网站上的提交按钮进行提交），预期行为是该提交应由Github.com签名（在我的情况下使用GPG密钥ID：4AEE18F83AFDEB23）。