微软 2011 年发布的 UEFI Certificate Authority 安全启动证书将于本月到期,这将影响依赖微软签名 Shim 的 Linux 启动流程。各大 Linux 发行版需将 Shim 签名流程迁移到 2023 年的 UEFI CA,迁移期内老旧 PC、双系统设备或新版安装镜像无法识别 2023 证书时可能出现启动问题。Windows 受影响较小。建议用户及时更新 Linux 发行版、Shim 和固件,并避免手动修改安全启动密钥。
6 月 14 日消息,据科技媒体 Linuxiac 今天报道,微软的旧版安全启动证书即将到期,未来将影响 Linux 生态系统。
IT之家在此援引 Linuxiac,微软于 2011 年发布 UEFI Certificate Authority 机制,长期以来被应用在各种 PC 的安全启动信任链中,而如今,2011 版证书将在本月正式到期。
因此,各大 Linux 发行版必须将其 Shim 引导加载器签名流程,迁移到 2023 年的 UEFI CA 证书体系。
不过对于 Windows 来说,迁移证书的过程几乎无感。因为绝大多数 PC 厂商都会在固件中预装并信任微软的签名密钥,启动 Windows 时无需进行额外工作。
而对于 Linux 来说,大多数发行版系统无法直接受到 PC 固件信任,因此社区开发者决定使用微软签名的 Shim,获得 PC 固件信任后再启动 GRUB、Linux Kernel。
同时,微软 2011 年证书过期后,大多数 Linux 发行版预计都能够正常启动,因为证书过期并不会自动删除固件的旧密钥、撤销受信任启动程序。风险主要集中在 2011 证书迁移到 2023 证书过程中,如果较老的 PC、双系统设备、新版 Linux 安装镜像无法识别微软 2023 证书,则可能出现启动问题。
对于普通用户来说,目前最好的解决方案是及时安装最新版 Linux 系统、保持 Shim / UEFI 固件为最新,不要手动修改安全启动密钥,不正确的操作可能导致系统无法启动。