Windows安全启动证书在使用超过15年后即将到期

Secure Boot 是作为 UEFI 规范一部分引入的固件级安全功能，核心目的是在操作系统启动前阻止潜在的恶意启动代码加载，因此其信任根（证书与密钥）需要定期更新，以避免老旧凭据因密码学老化而成为攻击薄弱点。 微软 Windows 服务与交付部门项目经理 Nuno Costa 在官方博客中表示，退役旧证书、引入新证书是行业的标准做法，有助于让平台始终符合现代安全预期。

微软实际上已在 2023 年就发布了新版 Secure Boot 证书，不过自 Windows 8 以来，原始证书一直在负责验证启动过程。 用户与企业可以通过多种受信渠道获取新证书，包括主板厂商发布的 UEFI 固件更新。 与此同时，微软还会把新证书集成到每月的补丁和安全更新中，通过 Windows Update 自动分发，企业环境则可借助各类管理工具自定义推送流程。 微软将此次证书更新形容为 Windows 生态中规模最大的一次协调安全维护行动之一。

由于 Secure Boot 运行在固件层，直接影响 PC 的启动方式，此次升级需要微软与硬件厂商、OEM 以及其他合作伙伴紧密配合，为数以百万计的 Windows 设备更新固件，以避免出现大范围启动故障等连锁反应。 仍在微软支持周期内的设备（包括 Windows 11 和加入扩展安全更新计划的 Windows 10 机器）可以通过 Windows Update 接收新证书，而更老的 PC 将无法安装这一更新，安全性相对会被削弱。

Costa 指出，仍然依赖 2011 年旧证书的设备在短期内仍会正常启动，但会被视为处于“降级”的安全状态，这类设备未来可能无法获得新的固件级防护能力。 随着新的启动层漏洞被发现，如果无法安装相应缓解措施，相关系统的暴露面会持续扩大，长远来看甚至可能引发兼容性问题，例如更新的操作系统、固件、硬件，或依赖 Secure Boot 的软件将无法加载。 PC 厂商如戴尔已提供检查系统是否支持新 Secure Boot 证书的操作指引，方便用户确认自身设备状况。

对于完全不启用 Secure Boot 的电脑，日常运行一般不会受到直接影响。 不过，Secure Boot 自诞生以来也曾遭遇包括“PKfail”在内的多起严重安全事件，暴露出实现与管理上的挑战。 尽管如此，该机制正日益成为部分网络游戏与 MOBA 的强制要求，这使得运行 Linux 或较老但性能仍然足够的游戏硬件的用户在参与这些新一代游戏时，可能面临被排除或使用门槛提高的处境。