У сертификатов Secure Boot 2011 года начинается срок истечения

24 июня 2026 года истекает первый из старых сертификатов Microsoft Secure Boot; следующие ключевые даты — 27 июня и 19 октября. Windows-устройства без перехода на сертификаты 2023 года продолжат загружаться, но могут потерять будущие защиты ранней загрузки, а администраторам Linux нужно следить за обновлениями UEFI-базы и shim.

С 24 июня 2026 года начинается ротация старых сертификатов Microsoft Secure Boot, которые используются в цепочке доверенной загрузки на множестве Windows- и Linux-систем. В сводке Microsoft указаны три даты: Microsoft Corporation KEK CA 2011 истекает 24 июня, Microsoft UEFI CA 2011 — 27 июня, Microsoft Windows Production PCA 2011 — 19 октября.

Secure Boot — механизм UEFI, который до запуска операционной системы проверяет цифровые подписи UEFI-драйверов, EFI-приложений и загрузчиков. Он снижает риск атак bootkit/rootkit-класса, когда вредоносный код стартует раньше ОС и средств защиты.

Microsoft подчеркивает, что устройства без обновленных сертификатов не должны внезапно перестать загружаться и смогут продолжать получать обычные обновления Windows, если они на это имеют право. Риск в другом: такие системы могут не получать будущие защиты ранней загрузки — обновления Windows Boot Manager, баз Secure Boot, списков отзыва DBX и меры против новых уязвимостей boot chain.

Для Windows Microsoft опубликовала отдельное руководство для администраторов: нужно проверить состояние Secure Boot, инвентаризовать модели и версии BIOS/firmware, протестировать обновление на пилотной группе и развернуть новые сертификаты через поддерживаемые механизмы управления, включая Intune, Group Policy, CSP или параметры реестра.

Linux-системы затронуты из-за shim — небольшого первого загрузчика, который многие дистрибутивы используют как мост к инфраструктуре Secure Boot. Red Hat в своем разъяснении для RHEL пишет, что существующие системы с текущим shim продолжат загружаться после 27 июня, но будущие версии shim, подписанные только ключом 2023 года, потребуют наличия нового сертификата в UEFI-базе. Администраторам Linux стоит проверять рекомендации своего дистрибутива и не откладывать обновление firmware/UEFI db и пакетов загрузочной цепочки.