Microsoft Secure Boot 证书即将到期

ZDNET AI··作者 Ed Bott

关键信息

受影响的证书包括 Microsoft Corporation KEK CA 2011、Microsoft Windows Production PCA 2011 和 Microsoft UEFI CA 2011,它们将被 2023 版证书替换。ZDNET 指出,即使证书过期,电脑通常仍可正常启动,但如果没有更新证书,未来可能无法接收与 Secure Boot 相关的更新。

资讯摘要

ZDNET 表示,多个 Microsoft Secure Boot 证书将在 2026 年到期,其中第一个截止日期是 2026 年 6 月 24 日。文章把这件事描述为一个实际的安全维护问题,而不是灾难性故障,但它很重要,因为 Secure Boot 已深度集成到 Windows 中,而且越来越多的 Linux 发行版也在使用它。Secure Boot 通过在启动时检查加密签名,确保只有受信任的启动组件可以运行。文章指出,正在到期的是微软 2011 年发布的旧证书,包括 KEK 和 UEFI CA 凭证,需要用更新的 2023 证书替换。

报道还提到,凡是大约过去 15 年内生产的电脑,大概率仍在固件中使用这些旧的 Microsoft 证书。微软已经为普通用户和企业环境提供了更新指南,并在 Windows Security 应用中加入了查看证书状态的方法。ZDNET 还建议用户提前保存一份 BitLocker 恢复密钥,因为与安全相关的固件或启动更新有时会和加密磁盘产生关联。文章强调,大多数电脑用户只要安装最新更新通常就不会有问题,但管理员应当尽早检查设备,避免 2026 年晚些时候出现麻烦。

Microsoft Secure Boot 证书即将到期

资讯正文

ZDNET 的要点:

Secure Boot 可保护现代 Windows 和 Linux PC。

微软 2011 年的 Secure Boot 证书将于 2026 年 6 月和 10 月过期。

大多数 PC 用户只要安装了最新更新,就不会有问题。

去年 Windows 10 停止支持的截止日期,对普通消费者和 IT 专业人士都是一次大考。恭喜——大家都通过了!不过,在开始庆祝之前,请留意本周即将到来的另一个关键到期日期。四张关键的微软安全证书正在失效,其中第一张将于今天,也就是 2026 年 6 月 24 日到期。

微软在如何替换这些旧证书方面表现得相当透明,既为普通用户也为企业客户提供了指导。它还加入了一种任何人都能使用的方法,通过内置的 Windows Security 实用工具检查这些证书的状态。(后文会有更多细节。)另外,现在或许也是确认你已经保存了一份 BitLocker 恢复密钥副本的好时机,以防万一。

这个截止日期比 Windows 10 停止支持的日期要复杂一些。要理解原因,我们需要谈谈自 2011 年以来每一台 Windows PC 都具备的一项核心安全功能:Secure Boot。该功能在预装 Windows 10 和 Windows 11 的新电脑上默认启用,充当守门人,只允许受信任的软件在启动时运行。如果有人试图篡改操作系统,或从其他设备启动,Secure Boot 会阻止这种尝试。

另外:如何把“兼容性不足”的 Windows 10 电脑免费升级到 Windows 11

目前所有受支持版本的 Windows 都支持 Secure Boot,越来越多的 Linux 发行版也支持它,包括 Ubuntu、Fedora、Linux Mint、OpenSUSE 以及其他许多发行版。Secure Boot 的证书会发生什么变化?

Secure Boot 依赖一条密码学证书链,用于验证每个启动组件的签名。其中最重要的证书之一是 Key Enrollment Key(KEK),它有时也被称为 Key Exchange Key。它位于每台现代 PC 的 UEFI 固件中,并与 Trusted Platform Module(TPM)配合工作,用于管理受信任启动加载器的列表,这些列表存放在 Allowed Signature Database(DB)和 Forbidden Signature Database(DBX)中。

微软发布的 Production Certificate Authority(CA)和 UEFI CA 证书对于 Secure Boot 的运行同样至关重要,也需要更新。

另外:微软终于把可移动任务栏带到 Windows 11 了——以下是现在可以尝试的人群

如果你在过去 15 年里买过一台 PC,它几乎肯定包含微软在 2011 年发行的 KEK 和 UEFI CA 证书,而这些证书计划在 2026 年 6 月过期。要更新这些证书,你需要访问信任根——Platform Key,而它由硬件 OEM 管理。

即将过期的证书 过期日期 新证书 作用*Microsoft Corporation KEK CA 2011 2026年6月24日 Microsoft Corporation KEK 2K CA 2023 签署 Secure Boot Signature Database 和 Revoked Signature Database 的更新

Microsoft Windows Production PCA 2011 2026年10月19日 Windows UEFI CA 2023 签署 Windows 启动加载程序

Microsoft UEFI CA 2011* 2026年6月27日 Microsoft UEFI CA 2023 签署第三方启动加载程序和 EFI 应用程序

Microsoft UEFI CA 2011* 2026年6月27日 Microsoft Option ROM UEFI CA 2023 签署第三方 option ROM

表格改编自 Microsoft Support 的《Windows Secure Boot certificate expiration and CA updates》

* 注:Microsoft UEFI CA 2011 已被两个签名取代,以便组织在不必同时信任第三方启动加载程序的情况下,信任第三方 option ROM。

当 Secure Boot 证书过期后,它们将不再被允许验证启动软件。事情并没有听起来那么可怕。你的电脑仍然会正常启动和运行,但它将无法再接收 Windows Boot Manager、Secure Boot 数据库和吊销列表的更新,也无法接收针对启动链中新发现漏洞的修复。

你可以关闭 Secure Boot,但这样做意味着,如果不提供恢复密钥,你可能无法访问使用 BitLocker 加密的磁盘。Microsoft 指出,依赖 Secure Boot 信任的场景——例如 BitLocker 加固、启动级代码完整性,或第三方启动加载程序和 Option ROM——如果它们需要更新后的 Secure Boot 信任,也可能会受到影响。2023 年,Microsoft 已经发布了这些 Secure Boot 证书的替代版本。不过,Secure Boot 证书模型的核心就在于这些证书并不容易替换——如果容易替换,世界上每个恶意软件开发者都会把精力放在这件事上,制造在启动时运行且难以被轻易检测到的恶意 rootkit。

此外:Microsoft 在 6 月更新中修补了创纪录的 198 个 Windows 漏洞,其中 3 个是零日漏洞

为了应对这场大规模“灭绝事件”,Microsoft 及其硬件合作伙伴已经合作数年,协调推进一系列全球更新,旨在用 2023 版证书替换这些过时证书。Microsoft 从 2025 年初开始,已经为客户发布了超过一年的指导,并在今年早些时候的一篇博客文章中记录了其进展:我们的生态系统合作伙伴在向新 Secure Boot 证书过渡的过程中发挥着关键作用。OEM 已在新设备上预置更新后的证书,许多自 2024 年以来生产的新款 PC,以及 2025 年出货的几乎所有设备,已经包含这些证书,客户无需采取任何行动。OEM 合作伙伴还与我们的工程团队密切合作,确保市场中的设备能够无缝应用这些更新,并提供了自己的指导,帮助客户为这次过渡做好准备。

因此,经过这番协同努力,你很快可能会看到一个固件更新,把你电脑的安全核心带入现代化时代,将证书到期时间再往后延长十年甚至更久。对大多数人来说,这个过程应该不会带来明显干扰。你可能已经在不知不觉中安装了所需更新。企业管理员有一整套工具可以监控和部署这些更新,相关内容都记录在 Windows Client 的 Secure Boot Playbook 中。对于这篇文章,我整理了一份常见问题列表,并附上权威答案。

为什么这些证书会到期?十五年已经很长了!安全标准每年都在大幅进步,淘汰旧证书并用符合现代安全标准的新证书替换它们,是很正常的做法;否则它们就会成为漏洞隐患。我的电脑有会到期的 Secure Boot 证书吗?如果你的电脑是在 2011 年之后设计和制造的,它就包含 Secure Boot 证书。任何在 2012 年至 2024 年间设计和制造的设备,出厂时都配备了 2011 年证书,这些证书会在 2026 年到期,必须更换。根据 Microsoft 的说法,自 2024 年起,其 OEM 合作伙伴已在新设备上预装更新后的证书。如果你用的是相对较新的设备,它很可能已经包含最新证书。2025 年或之后推出的 Copilot+ PC 已经包含 2023 年证书,不需要更新。另请参阅:如何借助 Copilot 或 ChatGPT 有效排查你的电脑问题。最近的一个 Windows 11 更新让你可以在 Windows Security 应用中查看安全证书的状态。进入 Device Security 页面,并查看“Secure boot”标题下方。如果你看到一条写着“all required certificates have been applied”的消息,说明一切正常。你也可以使用 PowerShell 检查电脑是否已经获得更新后的证书。请以管理员凭据打开一个 PowerShell 窗口,然后复制下面的命令并粘贴到 PowerShell 命令行中:([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')。如果返回 True,说明你已经是最新状态;如果返回 False,则需要进行固件更新。我会自动获得更新后的证书吗?如果你的电脑由大型 OEM 厂商设计和制造(Lenovo、HP、Dell、ASUS、Surface),并且你运行的是受支持的 Windows 版本,那么你应该会自动收到必要的更新。根据 Microsoft 的说法,“对于大多数允许 Microsoft 管理 PC 更新的个人和企业,新证书将通过常规的每月 Windows 更新流程自动安装,无需采取任何额外操作。”这些更新将出现在几乎所有运行 Windows 11 的电脑上,以及订阅了 Extended Security Updates 的 Windows 10 电脑上。你可能还需要来自电脑制造商的单独固件更新,才能让更新后的证书成功安装。每家 OEM 都有一个状态页面,你可以在那里查看最新信息。

戴尔:Secure Boot Transition FAQ

惠普:Prepare for new Windows Secure Boot certificates

联想:Secure Boot Certificate Expiration Guide(2011 to 2023)

ASUS(PCs):Windows Secure Boot certificate expiration and certificate updates

ASUS(motherboards):Windows Secure Boot certificate expiration and certificate updates

Microsoft Surface:Surface Secure Boot Certificates

一些厂商已经在相当长一段时间内随 PC 一起提供了两套证书,允许企业客户自行决定何时切换到新证书。对于服务器和 IoT 设备等专用计算机,你可能需要从设备制造商那里下载并安装更新。

如果我不更新这些证书会怎样?根据微软的说法,“当 2011 年的 CA 过期后,没有新 2023 证书的 Windows 设备将无法再接收预启动组件的安全修复,从而危及 Windows 的启动安全……如果不更新,启用了 Secure Boot 的 Windows 设备将面临无法接收安全更新或信任新的启动加载程序的风险,这将同时损害可维护性和安全性。”

我用的是 Mac。我需要担心这个吗?不需要。

我用的是运行 Linux 的 PC。我需要担心这个吗?如果你是在 Windows 上双启动 Linux,微软表示它会更新 Linux 所依赖的证书。如果你已经完全清除了 Windows,可能不会自动获得最新的安全更新。你可以联系构建这台 PC 的公司,看看是否有手动更新;或者你也可以关闭 Secure Boot。除了在启动屏幕上看到一个吓人的红色挂锁图标外,其他一切都会按预期运行。

我自己组装了 PC。我的更新在哪里?请联系你的主板制造商。可能会有更新,但取决于你的 PC 年龄,主板制造商也许不会提供更新。你可以关闭 Secure Boot,Windows 仍然可以启动。如果启用了 BitLocker,你可能需要提供恢复密钥才能访问该磁盘上的数据。

另外:如何找到你的 BitLocker 恢复密钥——并在为时已晚之前保存一份安全备份副本

新证书什么时候过期?2023 年证书的过期时间是在 15 年后,也就是 2038 年。唯一的例外是 Windows UEFI CA 2023,它将于 2035 年 6 月过期。这意味着我们不到十年后还得再经历一次这样的流程。

我可以在哪里获得更多信息或帮助?微软的官方 FAQ 页面在这里:Secure Boot Certificate Update FAQ。如果你在家用或小型办公室的非托管 PC 上遇到问题,请向 PC 制造商咨询,或联系微软获取支持。企业管理员可以使用商业支持渠道。

来源与参考

  1. 原始链接
  2. A crucial Windows security certificate expires today - how to check your PC

收录于 2026-06-25