Срок действия сертификатов безопасной загрузки Windows истекает 24 июня

Срок действия сертификатов Secure Boot 2011 года, обеспечивающих безопасность загрузки на большинстве ПК под управлением Windows, истекает 24 июня, через месяц после сегодняшнего дня. Устройства без сертификатов, заменяющих сертификаты 2023 года, не перестанут работать, но они потеряют возможность получать будущие исправления безопасности на уровне загрузки. Пользователи Windows 11 в поддерживаемых сборках обновляются автоматически, хотя старое оборудование и неподдерживаемые машины с Windows 10 сталкиваются с более сложным путем.

Что и когда прекращает свое действие

Три сертификата заканчивают свое действие: Microsoft Corporation KEK CA 2011 - 24 июня, Microsoft UEFI CA 2011 - 27 июня, а Microsoft Windows Production PCA 2011 - 19 октября. Последний сертификат подписывает сам загрузчик Windows, поэтому октябрь является наиболее критичным сроком для долгосрочной целостности загрузки. Microsoft начала распространять сертификаты замены 2023 через Windows Update в январе и расширяла их распространение с каждым ежемесячным обновлением, включая KB5089549 в этом месяце.

Что произойдет после 24 июня

Ваш компьютер не перестанет загружаться. По словам Microsoft, устройства с просроченными сертификатами будут продолжать нормально загружаться и получать стандартные обновления Windows https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e. Что они потеряют, так это возможность получать новые обновления базы данных Secure Boot, списки отзыва сертификатов и исправления для недавно обнаруженных уязвимостей загрузочного уровня. Эксплойты на уровне загрузки, такие как BlackLotus, специально нацелены на этот уровень. Устройство с просроченными сертификатами не имеет возможности защититься от будущих угроз на уровне прошивки.

Как проверить Ваше устройство

Откройте Windows Security, выберите Device Security и проверьте раздел Secure Boot. Статья поддержки Microsoft KB5062710 на сайте https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e рассказывается о том, что означает истечение срока действия и какие действия следует предпринять, если обновление не было применено. Пользователи Windows 10, не участвующие в программе Extended Security Updates, не получат новые сертификаты и не будут иметь возможности исправить ситуацию с 24 июня и далее.

Устройства, которые могут не получить исправление

Для некоторых старых аппаратных средств требуется соответствующее обновление прошивки OEM-производителя наряду с распространением сертификатов Windows, поскольку новая цепочка сертификатов должна быть закреплена непосредственно в прошивке UEFI. Устройства от производителей которые перестали выпускать обновления прошивки, могут остаться на сертификатах 2011 года независимо от того, какая Windows будет установлена. Microsoft советует применить последнее обновление, проверить статус с помощью KB5062710 и обратиться в службу поддержки OEM-производителей, если сертификаты 2023 не отображаются на полностью обновленной системе.