A Windows Secure Boot tanúsítványok június 24-én lejárnak

A 2011-es Secure Boot tanúsítványok, amelyek a legtöbb Windows PC-n a rendszerindítás biztonságát biztosítják, június 24-én, azaz egy hónap múlva lejárnak. A 2023-as helyettesítő tanúsítványok nélküli eszközök nem szűnnek meg működni, de elveszítik a jövőbeni boot-szintű biztonsági javítások fogadásának lehetőségét. A támogatott buildeket használó Windows 11 felhasználók automatikusan frissülnek, bár a régebbi hardverek és a nem támogatott Windows 10-es gépek nehezebb út elé néznek.

Mi jár le és mikor

Három tanúsítvány lejáró dátummal rendelkezik: a Microsoft Corporation KEK CA 2011 június 24-én, a Microsoft UEFI CA 2011 június 27-én, a Microsoft Windows Production PCA 2011 pedig október 19-én. Ez utóbbi magát a Windows rendszerbetöltőjét írja alá, így október a legkritikusabb határidő a hosszú távú rendszerindítás integritása szempontjából. A Microsoft januárban kezdte meg a 2023-as helyettesítő tanúsítványok bevezetését a Windows Update-en keresztül, és minden egyes havi frissítéssel, így az e havi KB5089549-es verzióval is előrehaladta a bevezetést.

Mi történik június 24. után

A számítógép nem áll le a rendszerindítással. A Microsoft szerint a lejárt tanúsítványokkal rendelkező eszközök továbbra is normálisan indulnak, és továbbra is megkapják a szokásos Windows-frissítéseket. Amit elveszítenek, az az új Secure Boot adatbázis-frissítések, a tanúsítvány-visszavonási listák és az újonnan felfedezett boot-réteg sebezhetőségek javításainak fogadása. Az olyan boot-szintű exploitok, mint a BlackLotus, kifejezetten ezt a réteget célozták meg. A lejárt tanúsítványokkal rendelkező eszközök nem rendelkeznek javítási lehetőséggel a firmware-szintű jövőbeli fenyegetésekkel szemben.

Hogyan ellenőrizheti készülékét

Nyissa meg a Windows Biztonságot, válassza az Eszközbiztonságot, és ellenőrizze a Biztonságos rendszerindítás részt. A Microsoft támogatási cikke KB5062710 foglalkozik azzal, hogy mit jelent a lejárat, és milyen lépéseket kell tennie, ha a frissítés nem került alkalmazásra. A kiterjesztett biztonsági frissítések programon kívüli Windows 10 felhasználók nem kapják meg az új tanúsítványokat, és június 24-től nem áll rendelkezésükre javítási útvonal.

Azok az eszközök, amelyek nem kapják meg a javítást

Egyes régebbi hardverek esetében a Windows-tanúsítvány bevezetése mellett megfelelő OEM-firmware-frissítésre is szükség van, mivel az új tanúsítványláncot közvetlenül az UEFI firmware-ben kell lehorgonyozni. A gyártóktól származó eszközök amelyek már nem adnak ki firmware-frissítéseket, a 2011-es tanúsítványokat használhatják, függetlenül attól, hogy a Windows mit telepít. A Microsoft útmutatása szerint a legújabb frissítést kell alkalmazni, a KB5062710 segítségével ellenőrizni kell az állapotot, és ha a 2023-as tanúsítványok nem jelennek meg a teljesen frissített rendszeren, akkor forduljunk az OEM ügyfélszolgálathoz.