微软启动全球Windows安全启动证书轮换计划

IT之家 2 月 11 日消息，微软于昨日（2 月 10 日）宣布启动大规模轮换 Windows 安全启动（Secure Boot）证书的计划。此举旨在通过月度安全更新替换2011年版旧证书，该证书将在2026年6月下旬失效。

安全启动被形象地称为电脑开机时的“安检员”。它在 Windows 系统启动前运行，检查所有要运行的程序（如操作系统加载器）是否有合法的“身份证”（数字签名）。如果没有或证件过期，程序将无法运行，从而有效防止病毒在系统启动前潜入电脑。

证书轮换的背景与影响

这批原始证书自2011年开始服役，按计划将于2026年6月下旬结束其15年的生命周期。微软为确保全球PC生态的安全根基不崩塌，已联手戴尔、惠普、联想等OEM厂商，开启了这项涉及固件、操作系统和硬件的大规模迁移工程。

在更新方式上，微软为了降低对用户的干扰，已将新证书集成至标准的 Windows 月度更新中。对于开启了自动更新的 Windows 11 及受支持系统的用户，无需任何额外操作，系统会自动完成新旧证书的交替。

OEM厂商的准备与用户影响

戴尔、惠普等厂商表示，2024年后出厂的大部分新设备已预置新版证书，2025年出货的设备则已完全就绪。若设备在2026年证书过期前未完成更新，虽然仍能正常开机和运行现有软件，但会进入“安全降级”状态。这意味着设备将失去对引导加载程序（Bootloader）的严格验证能力，极易被 Rootkit 等底层恶意软件攻破。

“若设备在2026年证书过期前未完成更新，将极易被 Rootkit 等底层恶意软件攻破。”

旧版系统用户的建议

此次更新仅覆盖处于官方支持周期内的 Windows 版本，意味着运行 Windows 10（非 ESU 版本）及更早系统的设备将无法接收新证书。微软明确建议，仍在使用旧版系统的用户应尽快升级硬件或操作系统，以避免因根信任缺失而沦为网络攻击的“裸奔”目标。

这项证书轮换计划不仅是微软对其安全策略的重大调整，也反映了全球信息安全环境的变化。随着网络攻击手段的日益复杂，确保系统启动安全成为保护用户数据和隐私的第一道防线。

未来，微软及其合作伙伴将继续致力于提升系统安全性，为用户提供更安全的计算环境。用户应密切关注系统更新通知，确保设备始终处于最佳安全状态。