Uplynutie platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácie certifikačnej autority
Vzťahuje sa na
Pôvodný dátum publikovania: 26. júna 2025
IDENTIFIKÁCIA DATABÁZY KB: 5062710
Čo je bezpečné spustenie?
Secure Boot je funkcia zabezpečenia v firmvéri založenom na rozhraní Unified Extensible Firmware Interface (UEFI), ktorá pomáha zabezpečiť, aby sa počas spustenia (spustenia) zariadenia spustil iba dôveryhodný softvér. Funguje tak, že overí digitálny podpis softvéru pred spustením na množine dôveryhodných digitálnych certifikátov (známych aj ako certifikačná autorita alebo CERTIFIKAČNÁ autorita) uložených vo firmvéri zariadenia. Ako priemyselný štandard, UEFI Secure Boot definuje, ako platforma firmware spravuje certifikáty, overuje firmware, a ako operačný systém (OS) rozhrania s týmto procesom. Ďalšie informácie o UEFI a secure boot nájdete v časti Bezpečné spustenie.
Secure Boot bol prvýkrát zavedený v Windows 8 na ochranu pred vznikajúce pre-boot malware (tiež známy ako bootkit) hrozbu v tej dobe. V rámci inicializácie platformy secure boot overuje moduly firmvéru pred spustením. Tieto moduly zahŕňajú ovládače firmvéru UEFI (napríklad romy option), zavádzacie zariadenia a aplikácie. Ako posledný krok procesu zabezpečeného spustenia firmvér overí, či secure boot dôveruje zavádzaciemu systému. Potom firmvér odovzdá ovládanie zavádzaciemu nástroju, ktorý následne overí, načíta do pamäte a spustí operačný systém Windows.
Zabezpečené spustenie definuje dôveryhodný kód prostredníctvom politiky firmvéru nastavenej počas výroby. Zmeny tejto politiky, ako je napríklad pridanie alebo zrušenie certifikátov, sa riadia hierarchiou kľúčov. Táto hierarchia začína kľúčom platformy (PK), ktorý zvyčajne vlastní výrobca hardvéru, za ktorým nasleduje kľúč na registráciu kľúčov (KEK) (známy aj ako kľúč Key Exchange Key), ktorý môže zahŕňať Microsoft KEK a iné kódy KEM. Databáza povolených podpisov (DB) a zakázaná databáza podpisov (DBX) určujú, ktorý kód sa môže spustiť v prostredí UEFI pred spustením operačného systému. Databáza obsahuje certifikáty spravované spoločnosťou Microsoft a OEM, zatiaľ čo DBX aktualizuje spoločnosť Microsoft najnovšími zrušeniami. Každá entita s KEK môže aktualizovať db a DBX.
Platnosť certifikátov zabezpečeného spustenia systému Windows vyprší v roku 2026
Keďže Systém Windows zaviedol podporu zabezpečeného spustenia, všetky zariadenia s Windowsom mali rovnakú množinu certifikátov spoločnosti Microsoft v systémoch KEK a DB. Tieto pôvodné certifikáty sa blížia k dátumu uplynutia platnosti a vaše zariadenie je ovplyvnené, ak má niektorú z uvedených verzií certifikátov. Ak chcete pokračovať v spúšťaní Windowsu a dostávaní pravidelných aktualizácií pre konfiguráciu zabezpečeného spustenia, budete musieť tieto certifikáty aktualizovať.
Terminológia
-
KEK: Kľúč registrácie kľúčov
-
CA: Certifikačná autorita
-
DB: Databáza podpisu zabezpečeného spustenia
-
DBX: Databáza zrušených podpisov zabezpečeného spustenia
|
Certifikát s uplynutou platnosťou |
Platnosť do |
Nový certifikát |
Ukladanie umiestnenia |
Účel |
|
Microsoft Corporation KEK CA 2011 |
Jún 2026 |
Microsoft Corporation KEK CA 2023 |
Uložené v KEK |
Podpisuje aktualizácie db a DBX. |
|
Microsoft Windows Production PCA 2011 |
Október 2026 |
Windows UEFI CA 2023 |
Uložené v databáze |
Používa sa na podpísanie zavádzacieho zavádzacieho nástroja systému Windows. |
|
Microsoft UEFI CA 2011* |
Jún 2026 |
Microsoft UEFI CA 2023 |
Uložené v databáze |
Podpisuje zavádzacie nakladače tretích strán a aplikácie EFI. |
|
Microsoft UEFI CA 2011* |
Jún 2026 |
Microsoft Option ROM CA 2023 |
Uložené v databáze |
Podpisuje romy tretích strán |
*Počas obnovy certifikátu Microsoft Corporation UEFI CA 2011 sú podpisy dvoch certifikátov oddeleného zavádzacieho zavádzacieho stroja od podpisovania možnosti ROM. Vďaka tomu jemnejšie ovládanie dôveryhodnosti systému. Napríklad systémy, ktoré potrebujú dôverovať možnosti ROMs môže pridať Microsoft Option ROM UEFI CA 2023 bez pridania dôvery pre zavádzacie nakladače tretích strán.
Spoločnosť Microsoft vydala aktualizované certifikáty na zabezpečenie kontinuity zabezpečenia zabezpečeného spustenia v zariadeniach s Windowsom. Spoločnosť Microsoft bude spravovať proces aktualizácie týchto nových certifikátov vo významnej časti zariadení s Windowsom. Okrem toho vám ponúkneme podrobné pokyny pre organizácie, ktoré spravujú svoje vlastné aktualizácie zariadení.
Dôležité Po uplynutí platnosti certifikátov 2011 zariadenia s Windowsom, ktoré nemajú nové certifikáty verzie 2023, už nemôžu dostávať opravy zabezpečenia pre súčasti pred spustením, ktoré ohrozujú zabezpečenie spúšťania systému Windows.
Výzva na akciu
Po uplynutí platnosti certifikátov v roku 2026 bude možno potrebné vykonať kroky na zabezpečenie vášho zariadenia s Windowsom. Systém UEFI Secure Boot DB aj KEK je potrebné aktualizovať príslušnými novými verziami certifikátov 2023. Ďalšie informácie o nových certifikátoch nájdete v téme Pokyny na vytváranie a správu kľúča zabezpečeného spustenia systému Windows.
Dôležité Bez aktualizácií hrozí, že zariadenia s Windowsom s podporou zabezpečeného spustenia nebudú dostávať aktualizácie zabezpečenia ani nebudú dôverovať novým zavádzacím nakladačom, čo by ohrozilo servisnosť aj zabezpečenie.
Vaše akcie sa budú líšiť v závislosti od typu zariadenia s Windowsom, ktoré máte. Vyberte typ zariadenia a konkrétnu akciu, ktorú je potrebné vykonať, v ponuke na ľavej strane.
Potrebujete ďalšiu pomoc?
Chcete ďalšie možnosti?
Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.
Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.
