微软近期提醒用户,Windows生态中用于Secure Boot的加密证书即将迎来一次换代,自Windows 8推出以来沿用逾15年的初始Secure Boot证书将在2026年6月起失效,必须由新的证书接替,用于维持系统启动阶段的安全性。
Ot�Y�`@\hy 
V8�e>�l[tH Secure Boot是作为UEFI规范一部分引入的固件级安全功能,核心目的是在操作系统启动前阻止潜在的恶意启动代码加载,因此其信任根(证书与密钥)需要定期更新,以避免老旧凭据因密码学老化而成为攻击薄弱点。微软Windows服务与交付部门项目经理Nuno Costa在官方博客中表示,退役旧证书、引入新证书是行业的标准做法,有助于让平台始终符合现代安全预期。
6h>wt-t�RC }�elc `�jj 微软实际上已在2023年就发布了新版Secure Boot证书,不过自Windows 8以来,原始证书一直在负责验证启动过程。用户与企业可以通过多种受信渠道获取新证书,包括主板厂商发布的UEFI固件更新。与此同时,微软还会把新证书集成到每月的补丁和安全更新中,通过Windows Update自动分发,企业环境则可借助各类管理工具自定义推送流程。微软将此次证书更新形容为Windows生态中规模最大的一次协调安全维护行动之一。
d4m��=0G�` x�q�Xo0��
由于Secure Boot运行在固件层,直接影响PC的启动方式,此次升级需要微软与硬件厂商、OEM以及其他合作伙伴紧密配合,为数以百万计的Windows设备更新固件,以避免出现大范围启动故障等连锁反应。仍在微软支持周期内的设备(包括Windows 11和加入扩展安全更新计划的Windows 10机器)可以通过Windows Update接收新证书,而更老的PC将无法安装这一更新,安全性相对会被削弱。
�x[4`fM.m* PUz�*!9H�C Costa指出,仍然依赖2011年旧证书的设备在短期内仍会正常启动,但会被视为处于“降级”的安全状态,这类设备未来可能无法获得新的固件级防护能力。随着新的启动层漏洞被发现,如果无法安装相应缓解措施,相关系统的暴露面会持续扩大,长远来看甚至可能引发兼容性问题,例如更新的操作系统、固件、硬件,或依赖Secure Boot的软件将无法加载。PC厂商如戴尔已提供检查系统是否支持新Secure Boot证书的操作指引,方便用户确认自身设备状况。
�eiuS�vyY� h�&|[eZt?F 对于完全不启用Secure Boot的电脑,日常运行一般不会受到直接影响。不过,Secure Boot自诞生以来也曾遭遇包括“PKfail”在内的多起严重安全事件,暴露出实现与管理上的挑战。尽管如此,该机制正日益成为部分网络游戏与MOBA的强制要求,这使得运行Linux或较老但性能仍然足够的游戏硬件的用户在参与这些新一代游戏时,可能面临被排除或使用门槛提高的处境。
y�l�UrL�Q\
微博帐号登录