Λήξη πιστοποιητικού ασφαλούς εκκίνησης των Windows και ενημερώσεις CA

Τι είναι η Ασφαλής εκκίνηση;

Η Ασφαλής εκκίνηση είναι μια δυνατότητα ασφαλείας στο υλικολογισμικό που βασίζεται στο υλικολογισμικό της Ενοποιημένης επεκτάσιμης διασύνδεσης υλικολογισμικού (UEFI), το οποίο εξασφαλίζει ότι εκτελείται μόνο αξιόπιστο λογισμικό κατά τη διάρκεια της ακολουθίας εκκίνησης (έναρξη) μιας συσκευής. Λειτουργεί επαληθεύοντας την ψηφιακή υπογραφή του λογισμικού προ-εκκίνησης σε ένα σύνολο αξιόπιστων ψηφιακών πιστοποιητικών (γνωστών και ως αρχή έκδοσης πιστοποιητικών ή CA) που είναι αποθηκευμένα στο υλικολογισμικό της συσκευής. Ως βιομηχανικό πρότυπο, η Ασφαλής εκκίνηση UEFI καθορίζει τον τρόπο με τον οποίο το υλικολογισμικό της πλατφόρμας διαχειρίζεται τα πιστοποιητικά, πραγματοποιεί έλεγχο ταυτότητας υλικολογισμικού και τον τρόπο με τον οποίο οι διασυνδέσεις του λειτουργικού συστήματος (OS) με αυτήν τη διαδικασία. Για περισσότερες λεπτομέρειες σχετικά με το UEFI και την Ασφαλή εκκίνηση, ανατρέξτε στο θέμα Ασφαλής εκκίνηση.

Η Ασφαλής εκκίνηση παρουσιάστηκε για πρώτη φορά στο Windows 8 για προστασία από το αναδυόμενο λογισμικό κακόβουλης λειτουργίας πριν από την εκκίνηση (γνωστό και ως bootkit) εκείνη τη στιγμή. Ως μέρος της προετοιμασίας της πλατφόρμας, η Ασφαλής εκκίνηση πραγματοποιεί έλεγχο ταυτότητας των λειτουργικών μονάδων υλικολογισμικού πριν από την εκτέλεση. Αυτές οι λειτουργικές μονάδες περιλαμβάνουν προγράμματα οδήγησης υλικολογισμικού UEFI (όπως Option ROM), φορτωτές εκκίνησης και εφαρμογές. Ως τελικό βήμα της διαδικασίας Ασφαλούς εκκίνησης, το υλικολογισμικό επαληθεύει αν η Ασφαλής εκκίνηση εμπιστεύεται τον φορτωτή εκκίνησης. Στη συνέχεια, το υλικολογισμικό μεταβιβάζει τον έλεγχο στον φορτωτή εκκίνησης, ο οποίος με τη σειρά του επαληθεύει, φορτώνει στη μνήμη και εκκινεί το λειτουργικό σύστημα των Windows.

Η Ασφαλής εκκίνηση ορίζει τον αξιόπιστο κώδικα μέσω μιας πολιτικής υλικολογισμικού που έχει οριστεί κατά την κατασκευή. Οι αλλαγές σε αυτήν την πολιτική, όπως η προσθήκη ή ανάκληση πιστοποιητικών, ελέγχονται από μια ιεραρχία κλειδιών. Αυτή η ιεραρχία ξεκινά με το κλειδί πλατφόρμας (PK), το οποίο συνήθως ανήκει στον κατασκευαστή του υλικού, ακολουθούμενο από το κλειδί εγγραφής κλειδιού (KEK) (γνωστό και ως κλειδί exchange κλειδιού), το οποίο μπορεί να περιλαμβάνει ένα Microsoft KEK και άλλα KEK OEM. Η βάση δεδομένων επιτρεπόμενων υπογραφών (DB) και η βάση δεδομένων μη επιτρεπόμενων υπογραφών (DBX) καθορίζουν ποιος κώδικας μπορεί να εκτελεστεί στο περιβάλλον UEFI πριν από την εκκίνηση του λειτουργικού συστήματος. Η DB περιλαμβάνει πιστοποιητικά τα οποία διαχειρίζεται η Microsoft και ο OEM, ενώ το DBX ενημερώνεται από τη Microsoft με τις πιο πρόσφατες ανακλήσεις. Κάθε οντότητα με KEK μπορεί να ενημερώσει το DB και το DBX.

Η επίδραση της λήξης του πιστοποιητικού Ασφαλούς εκκίνησης

Η Microsoft ενημερώνει τα πιστοποιητικά Ασφαλούς εκκίνησης που κυκλοφόρησαν αρχικά το 2011, ώστε να διασφαλιστεί ότι οι συσκευές Windows θα συνεχίσουν να επαληθεύουν το αξιόπιστο λογισμικό εκκίνησης. Αυτά τα παλαιότερα πιστοποιητικά αρχίζουν να λήγουν τον Ιούνιο του 2026. Οι συσκευές που δεν έχουν λάβει τα νεότερα πιστοποιητικά του 2023 θα συνεχίσουν να εκκινούνται και να λειτουργούν κανονικά και οι τυπικές ενημερώσεις των Windows θα συνεχίσουν να εγκαθίστανται. Ωστόσο, αυτές οι συσκευές δεν θα μπορούν πλέον να λαμβάνουν νέα μέτρα προστασίας ασφαλείας για την πρώιμη διαδικασία εκκίνησης, συμπεριλαμβανομένων ενημερώσεων για τη Διαχείριση εκκίνησης των Windows, τις βάσεις δεδομένων ασφαλούς εκκίνησης, τις λίστες ανάκλησης ή μετριασμούς για ευπάθειες επιπέδου εκκίνησης που πρόσφατα ανακαλύφθηκαν. 

Με την πάροδο του χρόνου, αυτό περιορίζει την προστασία της συσκευής από αναδυόμενες απειλές και μπορεί να επηρεάσει σενάρια που βασίζονται στην αξιοπιστία ασφαλούς εκκίνησης, όπως η θωρά bitLocker ή προγράμματα φόρτωσης εκκίνησης τρίτων κατασκευαστών. Οι περισσότερες συσκευές Windows θα λαμβάνουν αυτόματα τα ενημερωμένα πιστοποιητικά και πολλοί OEM παρέχουν ενημερώσεις υλικολογισμικού όταν είναι απαραίτητο. Διατηρώντας τη συσκευή σας ενημερωμένη με αυτές τις ενημερώσεις, διασφαλίζεται ότι μπορεί να συνεχίσει να λαμβάνει το πλήρες σύνολο των προστατευμάτων ασφαλείας που έχει σχεδιαστεί να παρέχει η Ασφαλής εκκίνηση.

Τα πιστοποιητικά ασφαλούς εκκίνησης των Windows λήγουν το 2026

Από τότε που τα Windows εισήγαγαν την υποστήριξη ασφαλούς εκκίνησης, όλες οι συσκευές που βασίζονται στα Windows έχουν μεταφέρει το ίδιο σύνολο πιστοποιητικών της Microsoft στο KEK και το DB. Αυτά τα πρωτότυπα πιστοποιητικά πλησιάζουν την ημερομηνία λήξης τους και η συσκευή σας επηρεάζεται εάν διαθέτει οποιαδήποτε από τις εκδόσεις πιστοποιητικών που αναφέρονται. Για να συνεχίσετε να εκτελείτε τα Windows και να λαμβάνετε τακτικές ενημερώσεις για τη ρύθμιση παραμέτρων ασφαλούς εκκίνησης, θα πρέπει να ενημερώσετε αυτά τα πιστοποιητικά.

Ορολογία

• ΚΕΚ: Κλειδί εγγραφής κλειδιού

• CA: Αρχή έκδοσης πιστοποιητικών

• DB: Βάση δεδομένων υπογραφής ασφαλούς εκκίνησης

• DBX: Ασφαλής εκκίνηση ανακλημένη βάση δεδομένων υπογραφής

Η Microsoft έχει εκδώσει ενημερωμένα πιστοποιητικά, ώστε να διασφαλίζεται η συνέχιση της προστασίας ασφαλούς εκκίνησης σε συσκευές Windows. Η Microsoft θα διαχειρίζεται τη διαδικασία ενημέρωσης για αυτά τα νέα πιστοποιητικά σε ένα σημαντικό τμήμα των συσκευών Windows. Επιπλέον, θα προσφέρουμε αναλυτικές οδηγίες για τους οργανισμούς που διαχειρίζονται τις δικές τους ενημερώσεις συσκευών.

Κάλεσμα για δράση

Ίσως χρειαστεί να λάβετε μέτρα, ώστε να διασφαλίσετε ότι η συσκευή Windows θα παραμείνει ασφαλής όταν λήξουν τα πιστοποιητικά το 2026. Τόσο το UEFI Secure Boot DB όσο και το KEK πρέπει να ενημερωθούν με τις αντίστοιχες νέες εκδόσεις πιστοποιητικών του 2023. Για περισσότερες πληροφορίες σχετικά με τα νέα πιστοποιητικά, ανατρέξτε στο θέμα Οδηγίες δημιουργίας και διαχείρισης κλειδιού ασφαλούς εκκίνησης των Windows. 

Οι ενέργειές σας θα διαφέρουν ανάλογα με τον τύπο της συσκευής Windows που διαθέτετε. Επιλέξτε από το μενού στα αριστερά για τον τύπο της συσκευής και τη συγκεκριμένη ενέργεια που πρέπει να κάνετε.