Windows 10/11安全启动证书即将到期 若不更新系统将无法正常启动
适用于 Windows 11 安全启动的数字签名证书属于系统关键内容,如果签名证书过期则会影响正常安全启动,而微软在 2011 年颁发的数字证书用于 Windows 8 并被沿用至今,这份数字证书将在 2026 年 6 月和 10 月过期。
安全启动属于安全机制可以用来确保 PC 启动经过验证的固件和受信任的引导加载程序,例如在没有安全启动的时代经常有 rootkit 病毒潜伏在引导加载程序里,尽管现在依然有,但由于签名校验机制,这种 rootkit 病毒利用起来非常困难。
即将过期的安全启动数字签名证书适用于 Windows 10、Windows 10 LTSB/LTSC 系列、Windows 11、Windows 11 LTSC 系列、Windows Server 2012~2025,也就是说现在还在受支持的系统都会受到证书过期的影响。
但其实这个问题对大多数家庭用户和企业来说都不是问题,因为微软接下来几个月会将新的签名证书放在累积更新里,只要系统能够安装最新的累积更新那么签名证书就会被升级到新版本。
那么哪些系统受到影响呢?
最主要的就是不联网和不安装更新的系统,部分机构和企业使用场景要求设备断开公网连接只能内网连接,这种情况下安全启动证书可能会无法更新,过期后则导致系统无法正常启动,除非在 BIOS 里禁用安全启动。
这种情况下 IT 管理员可以考虑通过手动方式部署更新和安装新版签名证书,如果因为没有更新而禁用安全启动那属于得不偿失,安全启动可以有效确保在启动阶段不受恶意软件影响。
macOS 和 Linux 也同样受影响:
如果用户在 PC 上安装双系统或多系统并且还存在 macOS 或 Linux 系统,那么也受这个问题的影响,微软会在更新时顺手帮助 Linux 系统更新所依赖的证书,但微软不会帮助 macOS 更新证书,这个需要苹果提供支持。
