6 月 24 日消息,微软为 Windows Secure Boot(安全启动)机制签发的三组核心证书于 2026 年 6 月 24 日起陆续进入过期状态。
这些证书自 2011 年签发以来,一直是验证 PC 启动过程中每个固件与软件组件数字签名的信任锚点。此次更新涉及将系统固件中的信任链从 2011 年的旧证书迁移至 2023 年签发的新证书。
当然,微软已在该日期前将 Secure Boot 2023 证书更新推送至所有符合条件的 Windows 11 和 Windows 10 电脑。如果您的电脑已收到 2026 年 6 月的“星期二补丁”更新,那么无需您进行任何操作。对此,微软回应 Windows Latest 称:
通过此次更新,Windows 质量更新包含更多高置信度的设备定向数据,扩大了有资格自动接收新 Secure Boot 证书的设备覆盖范围。设备仅在展示足够的成功更新信号后才会接收新证书,从而维持受控且分阶段的推出。
根据微软官方说明及戴尔等厂商公布的清晰时间线,本次证书过期的具体节点为:
- 微软公司密钥交换密钥证书(Microsoft Corporation KEK CA 2011)于 2026 年 6 月 24 日过期;
- 微软 UEFI CA 2011 证书于 2026 年 6 月 27 日过期;
- 微软 Windows 生产 PCA 2011 证书则将于 2026 年 10 月 19 日过期。
当前运行与长期风险
对于普通用户而言,证书过期之后不会导致 Win11 突然无法启动。依赖旧证书的设备仍可正常开机,应用程序也不会出现重大问题。微软将此次截止日期设计为一次后台基础设施的更新,而非立即生效的“终止开关”。
真正的风险在于后续。如果设备未能完成新证书的迁移,将失去接收未来启动层面安全补丁的能力。
Windows 将停止为这些未更新的设备更新 Windows 启动管理器(Windows Boot Manager)、安全启动数据库(DB)以及撤销黑名单(DBX)。这使得硬件在面对 BlackLotus 等专门的固件级启动套件(Bootkit)时处于无防护状态 —— 这类恶意软件在传统杀毒软件启动之前就已感染系统。
安全启动的设计初衷正是为了防范此类引导程序病毒,它们会在操作系统及大多数其他代码之前完成加载,极难被检测和清除。
自动更新与潜在问题
对大多数用户而言,修复方案会通过每月的 Windows 更新渠道静默完成。Windows 会自动将旧证书替换为“Microsoft Corporation KEK 2K CA 2023”等新证书。
2024 年起出厂的新款 PC 已在工厂预装了这些新密钥。IT之家注意到,微软在 2024 年 2 月 13 日及之后的更新中已包含将 Windows UEFI CA 2023 证书应用到安全启动允许签名数据库(DB)的能力。
然而,较旧的设备与自行组装的 PC 可能面临问题。某些老款主板架构需要手动刷新 BIOS,才能支持 2023 年证书所需的更大加密密钥尺寸。
技术人员还提到,在那些曾使用手段绕过 CPU 或 TPM 硬件检查来安装 Windows 11 的机器上,更新失败率更高。微软也明确警告,在安全启动禁用的情况下无法更新证书。对于企业 IT 管理员,微软建议通过 Intune 监控报告验证更新状态,并在推送前对每种硬件型号的代表性设备进行测试。
用户可通过以下方式检查设备的安全启动状态:打开“Windows 安全中心”应用,点击“设备安全性”,在“安全启动”区域查看状态徽章;或按 Windows 键 +R 打开运行对话框,输入 msinfo32 后回车,在系统信息中查看“安全启动状态”。
参考资料:
- 《Windows 安全启动密钥创建和管理指南 | Microsoft Learn》
相关阅读:
- 《微软回应称安全启动 2011 证书本月到期不影响 Win11 设备启动,但影响后续安全》