Windows 电脑面临 Secure Boot 证书到期

关键信息

文章解释说，Secure Boot 依赖一条证书链，包括 KEK、微软的 Production CA 和 UEFI CA，这些都与 UEFI 固件以及设备 OEM 管理的 Platform Key 相关。如果旧证书没有被替换，电脑仍然可以正常启动，但可能无法继续接收 Windows Boot Manager、Secure Boot 数据库和吊销列表的更新，而这些更新有助于阻止新的启动层威胁。

资讯摘要

ZDNET 提到，在 Windows 10 终止支持之后，Windows 用户又面临另一个重要时间点：旧版 Secure Boot 证书将于 2026 年 6 月到期。Secure Boot 默认开启在现代 Windows 10 和 Windows 11 电脑上，它的作用是在启动时阻止不受信任的软件运行。这个机制不仅影响 Windows，也适用于许多 Linux 发行版，因此这是一个更广泛的固件安全问题，而不只是 Windows 自身的问题。文章说明，相关证书属于用于验证启动组件的加密信任链，其中包括 KEK 以及微软签发的 UEFI 相关证书。微软表示，真正到期的是 2011 年发出的证书，而 2023 年已经发布了新的替换证书，用来为这次过渡做准备。

微软及其硬件合作伙伴已经合作多年，将更新推送给 OEM 和已在使用中的设备，很多 2024 年以后生产的新电脑，以及几乎所有 2025 年出货的设备，已经直接包含这些证书。文章指出，即使旧证书到期，电脑仍然可以正常开机，但可能无法继续接收与 Windows Boot Manager、Secure Boot 数据库和吊销列表相关的未来更新。关闭 Secure Boot 也不是简单的解决办法，因为这可能导致无法访问使用 BitLocker 加密的磁盘，除非输入恢复密钥，同时还会削弱其他依赖信任链的功能。微软的总体判断是，只要用户保持 Windows 和固件更新，大多数设备都能顺利过渡，但较老机器可能需要 OEM 或管理员额外关注。文章最后强调，这次事件是一次计划中的维护窗口，而不是紧急故障，但在 2026 年 6 月前检查设备是否准备就绪仍然很重要。

资讯正文

关注 ZDNET：在 Google 上将我们添加为首选来源。ZDNET 的关键要点 Secure Boot 可保护现代 Windows 和 Linux PC。微软 2011 年的 Secure Boot 证书将于 2026 年 6 月过期。大多数 PC 用户只要安装了最新更新就没问题。

去年的 Windows 10 停止支持期限，对普通消费者和 IT 专业人士来说都是一次重大考验。好消息是，大家都通过了！坏消息是，另一个关键的到期日期就在眼前。

自 2011 年以来设计和制造的每一台 Windows PC 都支持一项名为 Secure Boot 的功能。这项功能在预装 Windows 10 和 Windows 11 的新 PC 上默认开启，它充当守门人，只允许受信任的软件在启动时运行。如果有人试图篡改操作系统，或从其他设备引导，Secure Boot 就会阻止这一尝试。另请参阅：如何将你的“不兼容”Windows 10 PC 免费升级到 Windows 11

当前所有受支持版本的 Windows 都支持 Secure Boot，越来越多的 Linux 发行版也同样支持，包括 Ubuntu、Fedora、Linux Mint、OpenSUSE 等等。Secure Boot 的证书会发生什么？

Secure Boot 依赖一条加密证书链，用来验证每个启动组件的签名。其中最重要的证书之一是 Key Exchange Key（KEK），它位于 UEFI 固件中，并与 Trusted Platform Module（TPM）协同工作，管理受信任引导加载程序的列表，这些加载程序保存在 Allowed Signature Database（DB）和 Forbidden Signature Database（DBX）中。微软签发的 Production Certificate Authority（CA）和 UEFI CA 证书对于 Secure Boot 的运行也至关重要，同样需要更新。另请参阅：微软终于把可移动任务栏带到了 Windows 11——现在是谁可以尝试

如果你在过去 15 年里买过一台 PC，它几乎肯定包含微软签发的 2011 年版 KEK 和 UEFI CA 证书，这些证书计划于 2026 年 6 月过期。要更新这些证书，你需要访问信任根——Platform Key，而它由硬件 OEM 管理。当 Secure Boot 证书过期后，它们将不再被允许验证启动软件。你的电脑仍然会正常启动和运行，但它将无法再接收 Windows Boot Manager、Secure Boot 数据库和吊销列表的更新，也无法接收针对启动链中新发现漏洞的修复。

你可以关闭 Secure Boot，但这样一来，如果不提供恢复密钥，你将无法访问使用 BitLocker 加密的磁盘。微软指出，依赖 Secure Boot 信任的场景（例如 BitLocker 加固、启动级代码完整性，或需要更新的 Secure Boot 信任的第三方引导加载程序和 Option ROM）也可能受到影响。2023 年，微软为这些 Secure Boot 证书发布了替代版本。但 Secure Boot 证书模型的核心就在于这些证书并不容易替换——如果它们很容易更换，世界上的每个恶意软件开发者都会把全部精力都投入到这件事上，制造在启动时运行、且不易被检测到的恶意 rootkit。

此外：在设置好 Windows 11 之后，这 9 个步骤对我来说是不可妥协的。为了应对这场“大灭绝”事件，微软及其硬件合作伙伴已经协同工作了好几年，协调推出了一系列全球更新，旨在用 2023 版本替换那些过时的证书。微软在一篇新博客文章中记录了进展：我们的生态系统合作伙伴在向新的 Secure Boot 证书过渡的过程中发挥着关键作用。OEM 一直在新设备上预置更新后的证书，许多自 2024 年以来生产的新款 PC 也已配备这些证书，而 2025 年出货的几乎所有设备都已经包含这些证书，客户无需采取任何行动。OEM 合作伙伴还与我们的工程团队密切合作，确保在售设备能够无缝应用这些更新，并提供了自己的指导，帮助客户为这次过渡做好准备。由于这一有力的协作，你的电脑很快可能会收到一次固件更新，把其安全核心带入现代时代，并将证书到期时间再往后推十年或更久。对大多数人来说，这一过程应该不会造成干扰。你甚至可能已经在不知不觉中安装了所需的更新。本文整理了一份常见问题列表，并附上权威解答。为什么这些证书会过期？十五年可是很长的时间！安全标准每年都在大幅进步，淘汰旧证书并用符合现代安全标准的新签发证书替换它们是很正常的，而不是让它们成为漏洞点。我的 PC 有即将过期的 Secure Boot 证书吗？如果你的电脑是在 2011 年之后设计和制造的，它就包含 Secure Boot 证书。任何在 2024 年之前设计和制造的设备，大概率都使用的是 2011 年证书，而这些证书即将到期。根据微软的说法，自 2024 年起，其 OEM 合作伙伴一直在新设备上预置更新后的证书。如果你使用的是相对较新的设备，它很可能已经包含最新证书。2025 年或更晚制造的 Copilot+ PC 已经包含 2023 证书，无需更新。此外：我对 Windows 12 的六大预测——包括它最可能的发布日期。最近一次 Windows 11 更新允许你在 Windows Security 应用中查看安全证书的状态。进入 Device Security 页面，在“Secure boot”标题下查看。如果你看到一条写着“all required certificates have been applied”的消息，那就没问题了。你也可以使用 PowerShell 来检查你的 PC 是否已安装更新后的证书。使用管理员凭据打开一个 PowerShell 窗口，然后将以下命令复制并粘贴到 PowerShell 命令行：([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') 如果返回 True，就说明你已经更新到位。如果返回 False，则需要进行一次固件更新。我会自动收到更新后的证书吗？

如果你的电脑是由大型 OEM 厂商（Lenovo、HP、Dell、ASUS、Surface）设计和制造的，并且你运行的是受支持的 Windows 版本，那么你应该会自动收到所需更新。根据 Microsoft 的说法：“对于大多数允许 Microsoft 管理电脑更新的个人和企业，新证书将通过常规的每月 Windows 更新流程自动安装，无需采取额外操作。”

这些更新会到达几乎所有运行 Windows 11 的电脑，以及订阅了 Extended Security Updates 的 Windows 10 电脑。你可能还需要电脑制造商提供单独的固件更新，以便允许安装更新后的证书。每家 OEM 厂商都有一个状态页面，你可以在那里查看最新信息。Dell：Secure Boot Transition FAQ；HP：Prepare for new Windows Secure Boot certificates；Lenovo：Secure Boot Certificate Expiration Guide (2011 to 2023)；ASUS（PC）：Windows Secure Boot certificate expiration and certificate updates；ASUS（主板）：Windows Secure Boot certificate expiration and certificate updates；Microsoft Surface：Surface Secure Boot Certificates。

其中不少厂商已经一段时间以来在出厂电脑中同时提供两套证书，这样企业客户就可以自行决定何时切换到新证书。对于服务器和 IoT 设备等专用电脑，你可能需要从设备制造商那里下载并安装更新。如果我不更新这些证书会怎样？根据 Microsoft 的说法：“当 2011 年的 CA 过期后，未安装新 2023 证书的 Windows 设备将无法继续接收预启动组件的安全修复，从而危及 Windows 启动安全……如果不更新，启用 Secure Boot 的 Windows 设备可能无法接收安全更新，或者无法信任新的启动加载器，这将同时损害可维护性和安全性。”

我用的是 Mac。我需要担心这个吗？不需要。我用的是运行 Linux 的 PC。我需要担心这个吗？如果你是在 Windows 和 Linux 双系统下启动，Microsoft 说它会更新 Linux 所依赖的证书。如果你已经把 Windows 完全清除掉了，你可能不会自动收到最新的安全更新。你可以联系组装你电脑的公司，看看是否有手动更新，或者你也可以关闭 Secure Boot。除了在启动画面上看到一个吓人的红色锁头之外，其他一切都会按预期运行。

我自己组装了电脑。我的更新在哪里？请联系你主板的制造商。可能会有更新，但这取决于你电脑的年龄，主板制造商也许不会提供更新。你可以关闭 Secure Boot，而 Windows 仍然可以启动。如果启用了 BitLocker，你可能需要提供恢复密钥才能访问该磁盘上的数据。另外：如何找到你的 BitLocker 恢复密钥——并在为时已晚之前保存一份安全备份副本。

新证书什么时候过期？2023 年的证书将在 15 年后过期，也就是 2038 年。唯一的例外是 Windows UEFI CA 2023，它将在 2035 年 6 月过期。

这意味着不到十年后，我们又得再来这么一轮。在哪里可以获得更多信息或帮助？官方的 Microsoft FAQ 页面在这里：Secure Boot Certificate Update FAQ。如果你在家用或小型办公室的一台未受管理的 PC 上遇到问题，请联系电脑制造商或 Microsoft 获取支持。企业管理员可以使用商业支持渠道。

来源与参考

1. 原始链接
2. How to check your Windows PC for expiring security certificates - a big one ends in June