文章总结: MicrosoftSecureBoot2011版证书于2026年6月24日起陆续过期,未迁移至2023版证书的设备虽可正常启动,但将丧失对新型引导级恶意软件的防护能力,且无法接收后续安全启动数据库更新。企业需通过OEM固件更新和Windows证书部署两阶段流程完成迁移,关键截止日期为2026年10月19日。 综合评分: 86 文章分类: 安全建设,漏洞预警,安全运营
Windows安全启动证书过期危机
网安百色
2026年6月29日 18:24 广西
在小说阅读器读本章
去阅读
Microsoft Secure Boot安全启动证书更新已进入关键阶段,2011版证书正式过期后,未完成2023版证书迁移的设备虽可正常启动,但将丧失对新型引导级恶意软件的防护能力。核心风险在于固件层信任链失效导致无法接收后续安全启动数据库(DB/DBX)更新,影响范围涵盖Windows 10/11、Windows Server及部分Linux系统。企业需通过OEM固件更新+Windows证书部署两阶段流程完成迁移,6月24日已过期的Microsoft Corporation KEK CA 2011证书仅是过渡起点,10月19日Microsoft Windows Production PCA 2011证书到期前必须完成全部更新。
Microsoft长期规划的安全启动(Secure Boot)证书更新已达到关键里程碑,其影响远超常规系统更新范畴。
Microsoft Corporation KEK CA 2011证书已于2026年6月24日过期,Microsoft UEFI CA 2011证书将于2026年6月27日到期,而Microsoft Windows Production PCA 2011证书计划于2026年10月19日到期。此次更新要求组织将固件信任链从2011版证书迁移至2023版替代证书。
此项迁移至关重要,因为安全启动是操作系统加载前的信任路径组成部分,UEFI固件会在启动Windows或Linux前验证引导组件。因此,证书过期本质是固件安全问题,而非单纯的终端补丁任务。
一、安全启动证书过期对设备的影响
安全启动的分层信任机制是问题核心。UEFI固件依赖平台密钥(PK)授权密钥交换密钥(KEK),后者用于签署允许的签名数据库(DB)和吊销数据库(DBX)的更新。
启动过程中,固件会检查引导加载程序和EFI组件是否在DB中被信任且未被DBX阻止,才会允许执行。微软确认,未完成2023版证书迁移的设备仍能正常启动并运行现有软件。
然而,这些设备将无法获取未来Windows启动管理器保护、安全启动DB/DBX更新,以及针对引导层威胁的新防护措施。
此安全风险尤为关键,因为引导型恶意软件(bootkit)等攻击正是针对安全启动设计保护的启动阶段。微软指出,停留在过期2011信任链的系统虽可继续运行,但将不再接收新的吊销列表或预启动信任材料25。随着时间推移,这将削弱系统对新发现引导程序及固件级漏洞的防御能力。
公司同时强调,依赖安全启动信任链的场景将受影响,包括BitLocker强化保护和第三方引导组件支持25。
二、影响范围与过渡方案
- 受影响系统范围
微软为此次证书迁移提供的支持矩阵涵盖Windows 10、Windows 11及Windows Server 2012 ESU至Server 2025版本27。根据微软Windows IT Pro指南,2012年后生产的多数设备已启用安全启动,且2024年后制造的PC通常已预置2023版证书212。
这意味着潜在风险覆盖大量支持UEFI的系统,而较新硬件通常能更平稳完成迁移。
- 证书过渡对照表
| 过期证书 | 到期日期 | 替代证书 | 固件存储位置 | 主要用途 | | — | — | — | — | — | | Microsoft Corporation KEK CA 2011 | 2026年6月24日 | Microsoft Corporation KEK 2K CA 2023 | KEK | 签署DB和DBX的更新 | | Microsoft UEFI CA 2011 | 2026年6月27日 | Microsoft UEFI CA 2023 | DB | 签署第三方引导加载程序和EFI应用 | | Microsoft UEFI CA 2011 | 2026年6月27日 | Microsoft Option ROM UEFI CA 2023 | DB | 签署第三方Option ROM | | Microsoft Windows Production PCA 2011 | 2026年10月19日 | Windows UEFI CA 2023 | DB | 签署Windows引导加载程序 |
- Linux环境的连带影响
由于微软UEFI签名链广泛用于第三方引导加载程序,Linux系统同样面临风险。Fedora警告称,2026年6月后微软将不再使用2011版密钥签署shim程序,导致仅保留旧信任锚点的硬件无法启动2023版证书签名的新shim二进制文件。
Red Hat也发布类似通告,敦促管理员检查已注册密钥、谨慎测试UEFI DB更新,并在可用时通过LVFS或OEM渠道使用厂商固件更新。
三、企业级迁移建议
微软及其硬件合作伙伴建议采用两阶段修复流程:
OEM固件更新阶段:
组织需先通过OEM渠道更新BIOS/UEFI固件,确保旧设备能接受新证书集。
证书部署验证阶段:
通过Intune、组策略、注册表控制或Windows Autopatch等支持的Windows服务通道部署微软证书更新。
使用UEFICA2023Status注册表键、Windows安全性应用或事件遥测验证更新状态。
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安百色 《Windows安全启动证书过期危机》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论