IT之家 7 月 1 日消息,科技媒体 borncity 昨日(6 月 30 日)发布博文,报道称微软上周开始,已陆续通知 IT 管理员,旧版 UEFI Secure Boot 证书将于 2026 年 6 月到期,推荐其尽快采取行动。
Secure Boot 证书链结构
IT之家注:微软于 2024 年 2 月开始推出新的 2023 安全启动证书颁发机构(CA)密钥,取代了 2011 年 Windows 8 时期创建的旧密钥。
Windows 8 中引入的 Secure Boot 使用基于 UEFI 证书的信任层次结构,从而确保在系统启动时只执行授权软件。
平台密钥(PK)位于这个链的顶端,通常由 OEM 或授权代表管理,并作为信任的基础。PK 授权更新密钥注册密钥(KEK)数据库,该数据库进而授权更新两个关键签名数据库:允许签名数据库(DB)和禁止签名数据库(DBX)。
Windows 系统受影响的证书
微软在 Technet 文章中发布了一张表格,列出了即将到期的证书。这篇文章讨论的是两个证书:Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011(或第三方提供商的 UEFI 证书,例如用于 Linux 系统的证书),两者都将在 2026 年 6 月到期。
这些即将到期的证书将被新的 Microsoft Corporation KEK 2K CA 2023 和 Microsoft Corporation UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 证书所取代。
哪些系统受到影响?
受影响的系统包括运行受支持版本的 Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 Windows Server 2012 R2 的物理和虚拟机(VM)。
这些系统自 2012 年以来发布,不受影响的系统包括不使用 Secure Boot 来保护 Windows 启动的系统,以及 2025 年发布的带有 Copilot+PC 的新系统。
证书到期意味着什么?
在证书到期后,此前消息称系统将无法启动 Windows。然而,这种情况并不会发生;如果启用了 Secure Boot,系统将继续支持启动 Windows。
但是,更大的问题是:一旦这些 CA 到期,系统将无法接收 Windows Boot Manager 和 Secure Boot 组件的安全更新。
依赖 Secure Boot 的系统(无论是物理设备还是虚拟机)将在 2026 年 6 月后失去安装 Secure Boot 安全更新的能力。
更新方式
微软于 2025 年 2 月发布名为 Make2023BootableMedia.ps1 的 PowerShell 脚本,用于更新 Windows 可启动媒体等,让其兼容新的“Windows UEFI CA 2023”证书。
