Secure Boot 舊 key 快到期:Windows、Linux 同 dual-boot 機真正要做咩
6 月 24 後唔會即時全線死機,但 boot 層安全更新要跟上
先講結論
Ars Technica 今次提醒 Windows 同 Linux 用戶留意 Secure Boot 舊憑證到期,值得睇,但唔係倒數死線。Microsoft 官方講得好清楚:未更新 2023 憑證嘅 Windows 機,6 月 24 後仍然會開機,一般 Windows Update 都照收。真正問題係往後 boot manager、DB/DBX revocation、BitLocker hardening 同第三方 bootloader 安全更新,可能因信任鏈太舊而收唔到。
Secure Boot 做嘅事,其實係喺 OS 起動前,由 UEFI firmware 先驗 bootloader、Option ROM、EFI app 呢類早期開機碼嘅簽署。bootkit 麻煩就麻煩喺佢比 Windows、Linux、殺毒軟件更早載入,重裝 OS 都未必清得走。今次到期嘅舊 Microsoft CA 主要係 2011 年嗰批:KEK CA 6 月 24 到期,Microsoft UEFI CA 6 月 27 到期,Windows Production PCA 就 10 月 19 到期;新一代係 2023 CA。
圖片:Microsoft Tech Community
Windows 機:先更新,唔好亂入 BIOS
如果你用支援中 Windows 11,或者有 ESU 嘅 Windows 10,最保守做法係開住 Windows Update、裝齊累積更新、重啟,之後去 Windows Security > Device security > Secure Boot 睇狀態。msinfo32 睇到 Secure Boot State 係 On,只代表 Secure Boot 有開,唔等於 2023 CA 已落齊。公司 IT 就要做 inventory、揀少量機先 pilot,尤其係冷門型號、舊 BIOS、VM、air-gapped 機。
Linux 呢邊唔可以一刀切。好多 distro 依賴 Microsoft 簽過嘅 shim 做第一段 bootloader,再由 shim 驗 GRUB、kernel 或 UKI。Ubuntu、Red Hat、Fedora 嘅說法都相近:UEFI firmware 驗簽時通常唔會單靠憑證日期過咗就拒絕舊 shim,所以現有安裝多數會繼續 boot。麻煩係日後新 shim 只用 2023 CA 簽;舊 firmware 冇新 CA,就可能裝唔到 boot stack 更新,或者新安裝 USB 過唔到 Secure Boot。
真正要做嘅幾件事
- 先備份同攞定 BitLocker recovery key;Linux 全碟加密、TPM-backed VM 都同樣要有 recovery path。
- Windows 用戶:保持 Windows Update 開住,留意 Windows Security 入面 Secure Boot 憑證狀態;舊機再查 OEM 或底板廠有冇 BIOS/UEFI firmware。
- Linux 用戶:跟 distro 官方指示更新
shim、grub、kernel、fwupd;Ubuntu 方面重點係fwupd2.0 或以上同 LVFS 更新,Red Hat/Fedora 就睇 dual-signed shim 同 firmware DB 狀態。 - dual-boot / 自砌 PC:唔好手多清 DB/DBX、revoke 2011 CA,亦唔好長期用「熄 Secure Boot」當維護方案,除非你只係為咗救機或者等 firmware 修補。
喺香港,最實際影響落喺公司 notebook、學生 dual-boot laptop、developer Linux workstation 同自砌 desktop。維修舖或者 IT admin 如果一句「熄 Secure Boot」就算,眼前可能開得返機,但 bootkit 防線都一齊放低。普通 Windows 11 機大多無感;真正要今個星期排期處理嘅,係舊 firmware、Linux Secure Boot、VM、公司大量機同有 BitLocker 嘅 dual-boot setup。
參考來源
- Ars Technica — Windows and Linux users: The deadline to update Secure Boot keys is near — original report
- Windows Secure Boot certificate expiration and CA updates - Microsoft Support — 官方憑證到期日期、影響範圍同 Windows 風險描述。
- Windows devices for home users, businesses, and schools with Microsoft-managed updates - Microsoft Support — 核對 Windows Update、Secure Boot 狀態同 BitLocker recovery 情況。
- Microsoft UEFI CA rotation: What it means for Ubuntu users and vendors — Canonical 對 Ubuntu、fwupd、shim 過渡嘅官方說明。
- Expiration of Secure Boot signing certificates in 2026 - Red Hat — 解釋 shim 雙簽、2011 CA 到期後仍可開機,同日後更新風險。
- FwupdPlugin: UEFI Secure Boot Certificates — 講 LVFS/fwupd 點處理 UEFI DB、KEK、DBX 更新同 BitLocker 風險。
- What you need to know about the Microsoft Secure Boot certificate expiration - Fedora Magazine — Fedora 官方文章,佐證 Fedora Rawhide dual-signed shim 同檢查方向。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
