微软全球升级安全启动!Win10/Win11 15年期Secure Boot旧证书6月过期
近日,微软正式启动了一项影响全球数十亿台电脑安全基础的关键行动:全面轮换Windows安全启动(Secure Boot)的数字证书。这项核心更新已通过月度安全补丁开始部署,旨在用全新的证书替换自2011年启用、并将于2026年6月底到期失效的原有证书。
简单来说,安全启动相当于电脑开机时的“第一道安全闸门”。它在操作系统加载之前率先启动,负责验证所有引导程序(如操作系统加载器)是否拥有有效且受信任的“数字签名”。一旦发现签名无效或证书过期,它将立即阻止启动,从而在系统引导的最初阶段,有效防御Rootkit等底层恶意软件的入侵。
这批即将到期、服务长达15年的原始证书,其更换工作关乎整个PC生态的安全连续性。为确保2026年后全球设备的启动安全链条无缝衔接,微软已提前规划,并与戴尔、惠普、联想等主要硬件制造商协同,展开了一项涉及固件、操作系统与硬件的综合性迁移工程。
普通用户需要手动操作吗?好消息是,对于绝大多数用户,整个过程基本无需干预。微软为最大限度减少对用户的打扰,已将新证书的部署整合至常规的Windows月度安全更新中。只要您使用的是Windows 11或仍处于支持期内的Windows系统,并保持自动更新开启,新旧证书的切换将在后台自动、静默地完成。

来自硬件厂商的反馈也证实了迁移进展顺利。戴尔、惠普等表示,2024年后生产的大部分新设备已预先搭载了新证书,而2025年出货的设备则已完全适配就绪。
那么,如果一台设备在2026年证书过期前未能成功完成此次关键更新,会有什么后果?设备仍可正常开机并运行现有软件,但会进入一种“安全防护降级”状态。这意味着开机时的“安全闸门”失去了权威的验证凭据,设备对引导程序的严格验证能力将大幅削弱,从而更容易遭受针对启动过程的恶意软件攻击。
需要特别注意,此次更新仅适用于处于官方支持周期内的Windows版本。这意味着,仍在运行Windows 10(未购买扩展安全更新)及更早旧版系统的设备,将无法获得这把新的安全“钥匙”。微软的建议非常明确:对于这些用户,尽快升级硬件或更新至受支持的操作系统,是避免因根证书信任缺失而导致安全“裸奔”的唯一有效途径。
