IT之家 7 月 1 日消息，科技媒體 borncity 昨日（6 月 30 日）發(fā)布博文，報(bào)道稱微軟上周開始，已陸續(xù)通知 IT 管理員，舊版 UEFI Secure Boot 證書將于 2026 年 6 月到期，推薦其盡快采取行動(dòng)。

Secure Boot 證書鏈結(jié)構(gòu)

IT之家注：微軟于 2024 年 2 月開始推出新的 2023 安全啟動(dòng)證書頒發(fā)機(jī)構(gòu)（CA）密鑰，取代了 2011 年 Windows 8 時(shí)期創(chuàng)建的舊密鑰。

Windows 8 中引入的 Secure Boot 使用基于 UEFI 證書的信任層次結(jié)構(gòu)，從而確保在系統(tǒng)啟動(dòng)時(shí)只執(zhí)行授權(quán)軟件。

平臺(tái)密鑰（PK）位于這個(gè)鏈的頂端，通常由 OEM 或授權(quán)代表管理，并作為信任的基礎(chǔ)。PK 授權(quán)更新密鑰注冊(cè)密鑰（KEK）數(shù)據(jù)庫，該數(shù)據(jù)庫進(jìn)而授權(quán)更新兩個(gè)關(guān)鍵簽名數(shù)據(jù)庫：允許簽名數(shù)據(jù)庫（DB）和禁止簽名數(shù)據(jù)庫（DBX）。

Windows 系統(tǒng)受影響的證書

微軟在 Technet 文章中發(fā)布了一張表格，列出了即將到期的證書。這篇文章討論的是兩個(gè)證書：Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011（或第三方提供商的 UEFI 證書，例如用于 Linux 系統(tǒng)的證書），兩者都將在 2026 年 6 月到期。

這些即將到期的證書將被新的 Microsoft Corporation KEK 2K CA 2023 和 Microsoft Corporation UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 證書所取代。

哪些系統(tǒng)受到影響？

受影響的系統(tǒng)包括運(yùn)行受支持版本的 Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 Windows Server 2012 R2 的物理和虛擬機(jī)（VM）。

這些系統(tǒng)自 2012 年以來發(fā)布，不受影響的系統(tǒng)包括不使用 Secure Boot 來保護(hù) Windows 啟動(dòng)的系統(tǒng)，以及 2025 年發(fā)布的帶有 Copilot+PC 的新系統(tǒng)。

證書到期意味著什么？

在證書到期后，此前消息稱系統(tǒng)將無法啟動(dòng) Windows。然而，這種情況并不會(huì)發(fā)生；如果啟用了 Secure Boot，系統(tǒng)將繼續(xù)支持啟動(dòng) Windows。

但是，更大的問題是：一旦這些 CA 到期，系統(tǒng)將無法接收 Windows Boot Manager 和 Secure Boot 組件的安全更新。

依賴 Secure Boot 的系統(tǒng)（無論是物理設(shè)備還是虛擬機(jī)）將在 2026 年 6 月后失去安裝 Secure Boot 安全更新的能力。

更新方式

微軟于 2025 年 2 月發(fā)布名為 Make2023BootableMedia.ps1 的 PowerShell 腳本，用于更新 Windows 可啟動(dòng)媒體等，讓其兼容新的“Windows UEFI CA 2023”證書。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。