В экосистеме продуктов Windows происходит поэтапный переход на обновлённые сертификаты Secure Boot – Microsoft UEFI CA 2023. Это изменение связано с завершением срока действия ранее используемых сертификатов Microsoft UEFI CA 2011 и направлено на повышение безопасности процесса загрузки операционной системы.
Для пользователя это означает, что механизм проверки доверия на уровне UEFI постепенно обновляется с целью соответствия актуальным требованиям безопасности. Новые версии Windows 11 уже начинают использовать обновлённые сертификаты, а также внедряют дополнительные проверки, связанные с безопасной загрузкой.
|
Сертификаты |
Дата окончания |
Новые сертификаты |
Место хранения |
|||
|
Microsoft Corporation KEK CA 2011 |
Июнь 2026 |
Microsoft Corporation |
KEK |
|||
|
Microsoft Windows Production PCA 2011 |
Октябрь 2026 |
Windows UEFI CA 2023 |
DB |
|||
|
Microsoft UEFI CA 2011 |
Июнь 2026 |
Microsoft UEFI CA 2023 |
DB |
|||
|
Microsoft UEFI CA 2011 |
Июнь 2026 |
Microsoft Option ROM CA 2023 |
DB |
Что именно меняется
В процессе обновления Windows добавляет новые сертификаты Secure Boot (KEK и db) образца 2023 года, а также обновляет базу отозванных сертификатов (dbx). Это необходимо для того, чтобы система могла корректно доверять новым компонентам загрузки и одновременно блокировать устаревшие или потенциально уязвимые.
Важно понимать, что сам механизм Secure Boot работает на уровне прошивки UEFI. Он проверяет цифровую подпись загрузчика операционной системы перед запуском. Если подпись не соответствует списку доверенных, загрузка блокируется.
С переходом на новые сертификаты изменяется именно этот список доверия.
Условия корректного обновления
Для того, чтобы обновление применилось корректно, необходимо использовать актуальную версию Windows с последними обновлениями системы (Windows 11 версии 23H2 и выше или Windows Server 2022 и выше) и убедиться, что включён Secure Boot.
Обязательно необходимо предварительно обновить микрокоды для установки корректных сертификатов.
Если обновление не применилось автоматически
Возможно, вам потребуется принять меры и вручную инициировать обновление сертификатов Secure Boot и загрузчика Windows, подписанного сертификатами Windows CA 2023, чтобы обеспечить безопасность устройства по истечении срока действия сертификатов в 2026 году. Это может понадобиться разработчикам и системным администраторам, которые захотят протестировать работу специализированного ПО или оборудования, которое может затронуть обновление сертификатов Windows UEFI CA 2023 и загрузчика.
Подробная инструкция доступна по ссылке: загрузить
*Очередное обновление BIOS для ноутбуков СИЛА НК2-1404, НК2-3404, B-516 уже включает в себя сертификаты UEFI CA 2023 (предоставляется по запросу в сервис)
Что будет, если не обновлять сертификаты
Если по какой-то причине ваше устройство не получило обновления или если вы не заменили используемые сертификаты до истечения срока действия предыдущих, проблем с загрузкой Windows или использованием устройства со старыми сертификатами не возникнет. Однако механизм доверенной загрузки Secure Boot перестанет работать, что сделает компьютеры уязвимыми перед заражением буткитами.
Важные особенности
Обновление сертификатов Secure Boot сохраняется на уровне UEFI и не зависит от установленной операционной системы. Это означает, что при переустановке Windows или другой ОС изменения в UEFI сохраняются.
Переход на сертификаты Microsoft UEFI CA 2023 является плановым этапом развития механизмов безопасности Windows. На текущий момент устройства Сила поддерживают данный переход, однако в отдельных сценариях может потребоваться дополнительная настройка.
При возникновении вопросов обращайтесь в техническую поддержку support@sila.ru или к вашему персональному менеджеру.