2 月 11 日消息,微软昨日(2 月 10 日)发布公告,正式启动大规模轮换 Windows 安全启动(Secure Boot)证书轮换计划,已开始通过月度安全更新,接替 2011 版旧证书(将于 2026 年 6 月下旬失效)。
注:安全启动是电脑开机时的“安检员”。它在 Windows 系统启动前运行,检查所有要运行的程序(如操作系统加载器)是否有合法的“身份证”(数字签名)。如果没有或证件过期,就不让运行,从而防止病毒在系统启动前就潜入电脑。
这批原始证书于 2011 年开始服役,按计划将于 2026 年 6 月下旬结束其 15 年的生命周期。微软为确保全球 PC 生态的安全根基不崩塌,已联手戴尔、惠普、联想等 OEM 厂商,开启了这项涉及固件、操作系统和硬件的大规模迁移工程。
在更新方式上,微软为了降低对用户的干扰,已将新证书集成至标准的 Windows 月度更新中。对于开启了自动更新的 Windows 11 及受支持系统的用户,无需任何额外操作,系统会自动完成新旧证书的交替。
戴尔、惠普等厂商也表示,2024 年后出厂的大部分新设备已预置新版证书,2025 年出货的设备则已完全就绪。
若设备在 2026 年证书过期前未完成更新,虽然仍能正常开机和运行现有软件,但会进入“安全降级”状态。这意味着设备将失去对引导加载程序(Bootloader)的严格验证能力,极易被 Rootkit 等底层恶意软件攻破。
此次更新仅覆盖处于官方支持周期内的 Windows 版本,意味着运行 Windows 10(非 ESU 版本)及更早系统的设备将无法接收新证书。微软明确建议,仍在使用旧版系统的用户应尽快升级硬件或操作系统,以避免因根信任缺失而沦为网络攻击的“裸奔”目标。
