Windows 安全启动证书将于 6 月 24 日到期

支持大多数 Windows PC 启动安全的 2011 版安全启动证书将于 6 月 24 日到期，也就是一个月后的今天。没有 2023 年替代证书的设备不会停止工作，但它们将失去接收未来启动级安全补丁的能力。支持版本的 Windows 11 用户将自动更新，但旧硬件和不支持的 Windows 10 机器将面临更多困难。

过期内容和时间

三个证书即将到期：微软公司 KEK CA 2011 于 6 月 24 日到期，微软 UEFI CA 2011 于 6 月 27 日到期，微软 Windows 生产 PCA 2011 于 10 月 19 日到期。最后一个是 Windows 引导加载器本身的签名，因此 10 月是长期引导完整性最关键的最后期限。微软从 1 月份开始通过 Windows Update 推出 2023 替代证书，并在每个月的更新中提前推出，包括本月的 KB5089549。

6 月 24 日之后的情况

您的电脑不会停止启动。微软表示，证书过期的设备将继续正常启动，并接收标准的Windows 更新。.它们失去的是接收新的安全启动数据库更新、证书撤销列表和新发现的启动层漏洞补丁的能力。像 BlackLotus 这样的引导层漏洞专门针对这一层。证书过期的设备在固件层没有针对未来威胁的补丁路径。

如何检查设备

打开 Windows 安全，选择设备安全，然后检查安全启动部分。Microsoft 的支持文章 KB5062710介绍了过期的含义，以及如果未应用更新应采取的步骤。扩展安全更新计划之外的 Windows 10 用户将不会收到新证书，并且从 6 月 24 日起没有补救途径。

可能无法获得修复的设备

由于新证书链必须直接锚定在 UEFI 固件中，因此一些较旧的硬件在推出 Windows 证书的同时还需要进行相应的 OEM 固件更新。 来自制造商的设备已停止发布固件更新的设备可能会继续使用 2011 版证书，无论 Windows 安装了什么。微软的指导意见是应用最新更新，使用 KB5062710 验证状态，如果在完全更新的系统上未显示 2023 证书，请联系 OEM 支持。