微软为安全启动证书到期设定 2026 年最后期限

微软警告 Windows 用户和IT 管理员2011 年签发的安全引导证书将于 2026 年 6 月到期。将于 2026 年 6 月到期，其他到期日将延续到 2026 年 10 月。该公司表示，它已经开始用一套新的2023年证书更新受影响的系统，通过定期的Windows更新为许多设备提供这些证书。对许多设备进行更新。

该通知出现在微软2026年1月13日发布的Windows 11（KB5074109）补丁星期二发布说明中的 "Windows安全启动证书过期 "项下，微软在其中指出了2026年6月的开始日期，并向用户指出了准备指南。

2026 年 2 月 10 日，微软还发布了 KB5079373（"Windows 设备上的安全启动证书何时过期"），总结了过期的含义，并重申大多数设备应自动更新，而有些设备可能需要 OEM 固件更新。

2011 年证书开始过期时会发生哪些变化

微软表示，达到过期日期的设备仍应正常启动，并继续接收标准的 Windows 更新。主要区别在于，缺少较新证书的系统将无法再接收早期启动过程的新保护。包括与 Windows 启动管理器、安全启动数据库、撤销列表相关的更新，以及对新发现的启动链漏洞的修复。

在其更广泛的安全引导证书说明中(KB5062710)中，微软同样警告说，虽然日常使用看起来没有什么变化，但随着时间的推移，受影响的机器会逐渐失去保护，因为新的启动级威胁会不断出现。

哪些证书即将过期，用什么取代它们

在微软的IT 指南中中，该公司列出了自 Windows 8 / Windows Server 2012 时代以来一直在使用的三种微软提供的安全启动证书，并表示它们将于 2026 年 6 月开始到期，并将于 2026 年 10 月到期。

微软正在将设备转移到 2023 证书颁发机构，包括用于签署安全启动数据库更新和 Windows 启动组件的新条目，并指出某些环境可能需要添加单独的 2023 证书，具体取决于设备需要信任的内容（例如，与选项 ROM 相关的信任）。

用户和企业现在应该做什么

微软表示，对于大多数消费者 PC 来说，替换证书应通过微软管理的更新到达，但微软提醒说，某些系统可能需要 OEM 固件更新才能正确应用新证书。微软还建议不要将禁用安全启动作为一种变通办法。

对于受管理的机队，微软的指南和操作手册概述了在 2026 年 6 月截止日期之前清查、监控和部署变更的方法（包括 Intune、组策略和基于注册表的方法）。

第三方报告的第三方报告指出，微软将此视为启动信任链的 "世代更新"，现在通过对支持中设备的定期 Windows 维护来提供更新。