Microsoft 开始在 Windows 生态系统中进行首次 Secure Boot 证书交换

Source: Slashdot

Overview

Microsoft 已经开始通过常规的每月更新自动替换 Windows 设备上原有的 Secure Boot 安全证书。这些于 2011 年首次颁发、已有 15 年历史的证书将于 2026 年 6 月底至 10 月之间到期。

Secure Boot Background

Secure Boot 会在 Windows 加载之前验证仅运行受信任且已数字签名的软件。它已成为 Windows 11 的硬件必需条件。

Certificate Replacement Process

• 2023 年发布了一批新证书，已随大多数自 2024 年起生产的 PC 出货。
• 几乎所有在 2025 年出货的设备默认已预装新证书。
• 旧硬件通过 Windows Update 接收更新证书，起始于上月针对 Windows 11 的 KB5074109 更新。

Impact on Devices

• 未在证书到期前收到新证书的设备仍能运行，但会进入“安全降级状态”。
• 在此状态下，设备无法获得未来的启动级别保护，且可能在后续出现兼容性问题。

Windows 10 Considerations

• Windows 10 用户必须加入 Microsoft 的付费 Extended Security Updates（ESU）计划才能获取新证书。
• 某些设备在 Windows 提供的证书生效前，还可能需要制造商提供的单独固件更新。