微软(Microsoft)正在推进一项涉及Windows系统底层安全机制的证书更新计划。自Windows 8时代起沿用至今的Secure Boot初始证书将在2026年6月到期,届时将由新版证书接替,以维持操作系统启动阶段的安全验证能力。
Secure Boot是统一可扩展固件接口(UEFI)规范中的一项安全功能,其作用是在操作系统加载前阻止未经签名的恶意代码运行。该机制依赖内置的证书作为信任根,因此证书本身需要定期更新,以防止因密码学老化或证书泄露带来的安全风险。微软Windows服务与交付部门项目经理Nuno Costa表示,退役旧证书、引入新证书是行业通行做法,有助于平台持续满足现代安全预期。
此次更新并非临时决定。微软已于2023年发布新版Secure Boot证书,但原始证书在此期间仍继续承担验证任务。随着2026年6月失效期限临近,微软需协同硬件厂商、OEM及合作伙伴,为数以百万计的在用Windows设备更新固件。这是Windows生态迄今为止规模最大的协调性安全维护行动之一。
新证书将通过多种渠道分发。主流方式包括主板厂商发布的UEFI固件更新,以及微软通过Windows Update推送的月度安全更新。企业环境还可利用管理工具自定义推送流程。仍在支持周期内的设备,包括Windows 11及加入扩展安全更新计划的Windows 10机器,均可通过上述方式接收新证书。已停止支持的旧款PC则无法获得此次更新,其安全性将随之削弱。
依赖2011年旧证书的设备在证书失效后仍可启动,但系统安全状态将被标记为“降级”。这意味着未来若出现针对启动层的新漏洞,这些设备无法安装相应的固件级缓解措施,攻击面将持续扩大。长远来看,这类系统还可能面临兼容性问题,例如无法加载依赖Secure Boot验证的新版操作系统、固件或安全软件。戴尔等厂商已提供检测工具,帮助用户确认设备是否支持新证书。
Secure Boot机制自推出以来曾多次曝出实现漏洞,如“PKfail”事件暴露了证书管理流程中的风险。尽管如此,该机制的应用范围仍在扩展,部分网络游戏与MOBA已将其列为运行环境的前置要求。这意味着使用Linux系统或较老硬件的玩家,在参与新一代游戏时可能因Secure Boot状态不合规而遭遇更高的准入门槛。