DIDの鍵ローテーションの基本設計は鍵の切り替えが起きる前の過去の署名は有効に扱い続けますね。署名そのものは改ざん不可能なので、どの時点から攻撃者が作成したかのタイムラインが肝要になります。このタイムスタンプの信用を確保するために鍵のライフサイクルイベントの保存にブロックチェーンが使われがち。

とはいえ、ライフサイクルイベントは鍵自身の発行・切り替え・無効化といったもの。鍵が漏洩した後から鍵の切り替えを行うまでに作成された署名を無効化するのはDID側でできることはあまりなく(なぜならDIDは鍵管理までなので)、その鍵を利用しているアプリケーション側で署名したサムシングの「取消」に対応するものだと思います。