Windows安全启动证书将于6月24日开始到期

一个月后的6月24日开始，支撑着大多数Windows PC启动安全的2011年的安全启动证书将到期。未安装2023年替换证书的设备不会停止工作，但将失去接收未来启动层安全补丁的能力。受支持的Windows 11版本用户正在自动接收更新，但较老的硬件和不受支持的Windows 10机器面临更艰难的处境。

即将到期的证书有三张：Microsoft Corporation KEK CA 2011将于6月24日到期，Microsoft UEFI CA 2011将于6月27日到期，而Microsoft Windows Production PCA 2011将于10月19日到期。最后一张证书用于签署Windows引导加载程序本身，因此10月是最关键的长期启动完整性截止日期。微软从1月起开始通过Windows Update推送2023年替换证书，并在每次月度更新中加速推广，包括本月的KB5089549。

那么，6月24日之后会发生什么呢？你的PC不会无法启动。微软表示，持有过期证书的设备将继续正常启动并接收标准Windows更新。它们失去的是接收新的安全启动数据库更新、证书吊销列表以及新发现的启动层漏洞补丁的能力。BlackLotus等启动层漏洞利用程序专门针对这一层进行攻击。持有过期证书的设备对于未来固件级别的威胁将没有补丁修复途径。

可以打开Windows安全中心，选择"设备安全性"，然后查看安全启动部分。微软的支持文章KB5062710解释了到期的含义，以及如果更新尚未应用应采取的步骤。处于扩展安全更新计划之外的Windows 10用户将不会收到新证书，从6月24日起没有任何补救途径。

部分较老的硬件需要OEM固件更新与Windows证书推送相匹配，因为新的证书链必须直接锚定在UEFI固件中。来自已停止发布固件更新的制造商的设备，无论Windows安装了什么，都可能继续停留在2011年证书上。微软的建议是：应用最新更新，使用KB5062710验证状态，如果在已完全更新的系统上仍未显示2023年证书，请联系OEM支持。