В экосистеме продуктов Windows происходит поэтапный переход на обновлённые сертификаты Secure Boot – Microsoft UEFI CA 2023. Это изменение связано с завершением срока действия ранее используемых сертификатов Microsoft UEFI CA 2011 и направлено на повышение безопасности процесса загрузки операционной системы.

Для пользователя это означает, что механизм проверки доверия на уровне UEFI постепенно обновляется с целью соответствия актуальным требованиям безопасности. Новые версии Windows 11 уже начинают использовать обновлённые сертификаты, а также внедряют дополнительные проверки, связанные с безопасной загрузкой.

Что именно меняется

В процессе обновления Windows добавляет новые сертификаты Secure Boot (KEK и db) образца 2023 года, а также обновляет базу отозванных сертификатов (dbx). Это необходимо для того, чтобы система могла корректно доверять новым компонентам загрузки и одновременно блокировать устаревшие или потенциально уязвимые.

Важно понимать, что сам механизм Secure Boot работает на уровне прошивки UEFI. Он проверяет цифровую подпись загрузчика операционной системы перед запуском. Если подпись не соответствует списку доверенных, загрузка блокируется.

С переходом на новые сертификаты изменяется именно этот список доверия.

Условия корректного обновления

Для того чтобы обновление применилось корректно, необходимо использовать актуальную версию Windows с последними обновления системы (Windows 11 версии 23H2 и выше или Windows Server 2022 и выше) и убедиться, что включён Secure Boot.

Если обновление не применилось автоматически

Возможно, вам потребуется принять меры и вручную инициировать обновление сертификатов Secure Boot и загрузчика Windows, пописанного сертификатами Windows CA 2023, чтобы обеспечить безопасность устройства по истечении срока действия сертификатов в 2026 году. Это может понадобится разработчикам и системным администраторам, которые хотят протестировать работу какого-то специализированного ПО или оборудования, которое может затронуть обновление сертификатов Windows UEFI CA 2023 и загрузчика.   

Подробная инструкция доступна по ссылке: [ссылка на нашу инструкцию]
*Очередном обновление BIOS для ноутбуков СИЛА НК2-1404, НК2-3404, B-516 уже включает в себя сертификаты UEFI CA 2023 (распространяется по запросу в сервис)

Что будет, если не обновлять сертификаты

Если ваше устройство не получило обновления по какой-то причине, или используемые сертификаты не будут заменены до момента истечения срока действия предыдущих, это не вызовет проблем с загрузкой Windows или невозможностью использовать устройства со старыми сертификатами. Перестанет работать только механизм доверенной загрузки Secure Boot, делая компьютеры уязвимыми перед заражением буткитами.

Важные особенности

Обновление сертификатов Secure Boot сохраняется на уровне UEFI и не зависит от установленной операционной системы. Это означает, что при переустановке Windows или другой ОС изменения в UEFI сохраняются.

Переход на сертификаты Microsoft UEFI CA 2023 является плановым этапом развития механизмов безопасности Windows. На текущий момент устройства СИЛА поддерживают данный переход, однако в отдельных сценариях может потребоваться дополнительная настройка.

При возникновении вопросов обращайтесь в техническую поддержку support@sila.ru или к вашему персональному менеджеру.