Windows 安全開機憑證到期與 CA 更新

什麼是安全開機？

安全開機是統一可擴充韌體介面（Unified Extensible Firmware Interface） (基於UEFI) 韌體的一項安全功能，有助於確保只有受信任的軟體在裝置開機 (啟動) 順序中執行。 它透過驗證開機前軟體的數位簽章，並與一組可信的數位憑證（也稱為憑證授權中心或 CA）相符，這些憑證憑證儲存在裝置韌體中 () 來運作。 作為產業標準，UEFI 安全開機定義了平台韌體如何管理憑證、驗證韌體，以及作業系統 (作業系統) 如何與此流程介接。 欲了解更多關於 UEFI 與安全啟動的資訊，請參閱 安全啟動。

安全啟動於Windows 8年首次推出，目的是防範當時被稱為開機套件) 威脅的新興開機前惡意軟體 (。 作為平台初始化的一部分，安全開機會在執行前驗證韌體模組。 這些模組包含 UEFI 韌體驅動程式 (，如選項 ROM) 、開機載入程式及應用程式。 作為安全開機程序的最後一步，韌體會驗證安全開機是否信任開機載入程式。 接著，韌體會將控制權傳給開機載入程式，開機載入程式再驗證、載入記憶體，並啟動 Windows 作業系統。

安全開機透過製造時的韌體政策設定來定義受信任的程式碼。 此政策的變更，例如新增或撤銷憑證，則由金鑰階層控制。 此階層從平台金鑰 (PK) 開始，通常由硬體製造商擁有，接著是KEK (金鑰註冊金鑰) (也稱為金鑰交換金鑰) ，可能包含Microsoft KEK及其他OEMKEK。 DB) 允許的簽章資料庫 (DBX (不允許的簽章資料庫) 決定哪些程式碼可在作業系統啟動前在 UEFI 環境中執行。 資料庫包含由 Microsoft 與 OEM 管理的憑證，而 DBX 則由 Microsoft 更新，更新最新的撤銷憑證。 任何擁有 KEK 的實體都可以更新資料庫和資料庫。

安全啟動憑證過期的影響

Microsoft 正在更新最初於 2011 年頒發的安全開機憑證，以確保 Windows 裝置持續驗證受信任的開機軟體。 這些較舊的證書將於2026年6月開始到期。 尚未收到較新的 2023 年憑證的裝置仍能正常啟動與運作，標準的 Windows 更新也會繼續安裝。 然而，這些裝置將無法在早期開機過程中獲得新的安全防護，包括更新 Windows 開機管理員、安全開機資料庫、撤銷清單，或針對新發現的開機層級漏洞的緩解措施。 

隨著時間推移，這限制了裝置對新興威脅的防護，並可能影響依賴安全啟動信任的情境，如 BitLocker 強化或第三方開機載入程式。 大多數 Windows 裝置會自動收到更新的憑證，許多 OEM 廠商也會在需要時提供韌體更新。 保持裝置隨時更新，有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。

Windows 安全開機憑證將於 2026 年到期

自從 Windows 引入安全開機支援後，所有基於 Windows 的裝置在 KEK 和 DB 中都攜帶相同的 Microsoft 憑證。 這些原始憑證快到期了，如果你的裝置有上述任何版本的憑證，都會受到影響。 為了繼續執行 Windows 並定期接收安全開機設定的更新，你需要更新這些憑證。

術語

• KEK： 主要註冊說明

• CA： 憑證授權中心

• DB： 安全開機簽章資料庫

• DBX： 安全開機撤銷簽章資料庫

Microsoft 已發布更新憑證，以確保 Windows 裝置安全開機保護的連續性。 Microsoft 將負責這些新憑證在相當大範圍 Windows 裝置上的更新流程。 此外，我們也會為自行管理裝置更新的組織提供詳細指引。

喚起行動

你可能需要採取行動，確保 Windows 裝置在 2026 年憑證到期時依然安全。 UEFI 安全啟動資料庫與 KEK 都需要更新為相應的新 2023 憑證版本。 欲了解更多關於新憑證的資訊，請參閱 Windows 安全開機金鑰建立與管理指引。 

你的操作會依你使用的 Windows 裝置類型而有所不同。 從左側選單選擇裝置類型及需要採取的特定行動。