微软 本周早些时候发布了Windows 11(KB5034765)和Windows 10(KB5034763等)的补丁星期二更新。与此同时,该公司还发出提醒,Windows 11 版本 22H2 的可选、非安全预览更新(即 C 和 D 版本)即将于本月结束。
该公司发布的另一项重要公告是关于安全启动的。微软宣布从2023年开始推出新的安全启动密钥(CA)以取代之前的密钥。即将到期的安全引导密钥(CA)最早来自 2011 年,是在雷德蒙德巨头首次推出安全引导功能的 Windows 8 期间签发的。这些证书将在几年后的 2026 年到期,届时它们的将达到 15 岁高龄。
证书颁发机构(CA)或密钥主要帮助管理引导加载程序、驱动程序、固件和各种应用程序等各种组件的真实性和有效性。
微软在其技术社区博文中宣布了这一变化:
微软 与我们的生态系统合作伙伴合作准备推出替代证书,为未来的安全启动设置新的统一可扩展固件接口(UEFI)证书颁发机构(CA)信任锚。
请关注分阶段推出的安全启动数据库更新,以增加对新数据库 (DB) 和密钥交换密钥 (KEK) 证书的信任。从 2024 年 2 月 13 日起,所有启用安全启动的设备都可选择使用新的数据库更新。
从广义上讲,这将是对安全启动 DB(数据库)的一次重大更新,而安全启动 DBX 并不像安全启动 DBX 那样定期更新,安全启动 DBX 列表本质上是不安全模块的撤销列表,这也是它被称为安全启动禁用签名数据库 (DBX) 的原因。
因此,Microsoft Corporation KEK CA 2011、Microsoft Windows Production PCA 2011 和Microsoft UEFI CA 2011 都将被相应的 2023 版本取代。微软计划分阶段进行,以确保兼容性和无错误推广,并在 2026 年之前完成整个过程。