1年倒计时！微软警告：Win10/Win11旧版UEFI安全启动证书将于2026年6月失效

微软紧急预警：2026年6月后，旧版UEFI证书将全面失效！

　　 7月1日，科技媒体borncity昨日（6月30日）发表文章称，微软自上周起已陆续通知IT管理员，旧版UEFI Secure Boot证书将于2026年6月到期，建议相关人员尽快采取相应措施。

　　 Secure Boot 证书链结构

　　 注：微软自2024年2月起开始发布新的2023年安全启动证书颁发机构（CA）密钥，以替代自2011年Windows 8时期启用的旧密钥。

　　 Windows 8 引入的 Secure Boot 功能通过基于 UEFI 证书的信任机制，确保系统启动过程中仅运行经过认证的软件。

　　 平台密钥（PK）处于整个信任链的最顶端，通常由OEM或授权代表负责管理，是系统信任的基础。PK负责授权更新密钥注册密钥（KEK）数据库，而KEK数据库则进一步负责更新两个关键的签名数据库：允许签名数据库（DB）和禁止签名数据库（DBX）。 从技术角度来看，这种分层的信任机制在保障系统安全方面起到了至关重要的作用。PK作为最顶层的密钥，其安全性直接关系到整个系统的可信度。一旦PK被泄露或遭到破坏，整个信任链将面临严重威胁。因此，对PK的管理和保护必须严格遵循安全规范，确保其不被非法使用或篡改。同时，KEK、DB和DBX之间的层级授权关系也体现了现代操作系统在安全设计上的严谨性，有助于防止未经授权的代码执行，提升整体系统的防护能力。

　　 Windows 系统受影响的证书

　　 微软在 Technet 文章中发布了一张表格，列出了即将到期的证书。这篇文章讨论的是两个证书：Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011（或第三方提供商的 UEFI 证书，例如用于 Linux 系统的证书），两者都将在 2026 年 6 月到期。

　　 这些即将到期的证书将被新的 Microsoft Corporation KEK 2K CA 2023 和 Microsoft Corporation UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 证书所取代。

　　 哪些系统受到影响？

　　 受影响的系统涵盖运行受支持版本的Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 以及 Windows Server 2012 R2 的物理机和虚拟机（VM）。 从信息安全角度来看，此次影响范围广泛，涉及多个版本的操作系统，反映出企业及个人用户在面对安全漏洞时可能面临的共同风险。尽管微软持续提供支持，但这也提醒我们，及时更新系统补丁和加强安全防护措施至关重要。尤其对于仍在使用较旧系统的组织而言，更应提高警惕，避免因忽视安全更新而造成潜在威胁。

　　 这些系统自2012年以来发布，不受影响的系统包括那些不使用SecureBoot来保护Windows启动的设备，以及2025年推出的搭载CopilotPC的新系统。 从技术发展的角度来看，这一信息反映出安全机制在不同时间段内的变化与适应性。SecureBoot作为一项关键的安全功能，其应用范围和影响随着操作系统版本的更新而不断调整。对于2012年及之后发布的系统来说，是否启用SecureBoot可能直接关系到其安全性与兼容性。而2025年新推出的CopilotPC系统则表明，随着人工智能技术的深入整合，硬件与软件的协同安全策略也在同步演进。这种分阶段的防护措施，既体现了对历史系统的包容性，也展示了对未来技术的前瞻性布局。

　　 证书到期意味着什么？

　　 有消息称，当证书到期后，系统将无法启动Windows。但实际情况并非如此，只要SecureBoot功能已启用，系统仍然能够正常支持Windows的启动。这一情况表明，尽管存在相关警告，但实际影响可能被夸大了，用户无需过度担忧。从技术角度来看，SecureBoot的保护机制在其中起到了关键作用，确保了系统的稳定性和安全性。

　　 但是，更大的问题是：一旦这些证书过期，系统将无法接收Windows Boot Manager和安全启动组件的安全更新。

　　 依赖SecureBoot的系统（包括物理设备和虚拟机），将在2026年6月之后无法再安装SecureBoot的安全更新。

　　 更新方式

　　 微软于2025年2月发布了名为Make2023BootableMedia.ps1的PowerShell脚本，用于更新Windows可启动媒体，使其兼容新的“WindowsUEFICA2023”证书。 该脚本的发布反映出微软在系统安全和兼容性方面的持续投入。随着硬件和固件技术的不断演进，操作系统也需要相应调整以适应新的安全标准。此次更新不仅有助于提升系统的安全性，也为用户在使用新型设备时提供了更好的支持。此类工具的推出，体现了微软对生态系统的持续维护与优化。