Certyfikaty Windows Secure Boot zaczną wygasać 24 czerwca

Certyfikaty Secure Boot z 2011 roku wspierające bezpieczeństwo rozruchu na większości komputerów z systemem Windows zaczną wygasać 24 czerwca, czyli za miesiąc od dziś. Urządzenia bez certyfikatów zastępczych z 2023 roku nie przestaną działać, ale stracą możliwość otrzymywania przyszłych poprawek zabezpieczeń na poziomie rozruchu. Użytkownicy systemu Windows 11 na obsługiwanych kompilacjach są aktualizowani automatycznie, choć starszy sprzęt i nieobsługiwane maszyny z systemem Windows 10 napotykają trudniejszą ścieżkę.

Co wygasa i kiedy

Trzy certyfikaty microsoft Corporation KEK CA 2011 w dniu 24 czerwca, Microsoft UEFI CA 2011 w dniu 27 czerwca i Microsoft Windows Production PCA 2011 w dniu 19 października. Ten ostatni podpisuje sam bootloader systemu Windows, co czyni październik najbardziej krytycznym terminem dla długoterminowej integralności rozruchu. Microsoft rozpoczął wdrażanie certyfikatów zastępczych 2023 za pośrednictwem Windows Update w styczniu i przyspieszył wdrażanie z każdą comiesięczną aktualizacją, w tym z KB5089549 w tym miesiącu.

Co się stanie po 24 czerwca

Państwa komputer nie przestanie się uruchamiać. Microsoft twierdzi, że urządzenia z wygasłymi certyfikatami będą nadal uruchamiać się normalnie i otrzymywać standardowe aktualizacje systemu Windows. To, co stracą, to możliwość otrzymywania nowych aktualizacji bazy danych Secure Boot, list odwołania certyfikatów i łatek na nowo odkryte luki w warstwie rozruchowej. Exploity na poziomie rozruchu, takie jak BlackLotus, były specjalnie ukierunkowane na tę warstwę. Urządzenie z wygasłymi certyfikatami nie ma ścieżki łatania przed przyszłymi zagrożeniami na poziomie oprogramowania układowego.

Jak sprawdzić swoje urządzenie

Proszę otworzyć Windows Security, wybrać Device Security i sprawdzić sekcję Secure Boot. Artykuł pomocy technicznej Microsoft KB5062710 opisuje, co oznacza wygaśnięcie i jakie kroki należy podjąć, jeśli aktualizacja nie została zastosowana. Użytkownicy systemu Windows 10 spoza programu Extended Security Updates nie otrzymają nowych certyfikatów i nie będą mieli żadnej ścieżki naprawczej od 24 czerwca.

Urządzenia, które mogą nie otrzymać poprawki

Niektóre starsze urządzenia wymagają odpowiedniej aktualizacji oprogramowania układowego OEM wraz z wdrożeniem certyfikatu Windows, ponieważ nowy łańcuch certyfikatów musi być zakotwiczony bezpośrednio w oprogramowaniu układowym UEFI. Urządzenia od producentów którzy przestali wydawać aktualizacje oprogramowania układowego, mogą pozostać na certyfikatach z 2011 roku, niezależnie od tego, co zainstaluje system Windows. Zgodnie ze wskazówkami Microsoftu należy zastosować najnowszą aktualizację, zweryfikować stan za pomocą KB5062710 i skontaktować się z pomocą techniczną OEM, jeśli certyfikaty 2023 nie są wyświetlane w pełni zaktualizowanym systemie.