Обновление сертификатов Secure Boot Microsoft 2023
Содержание:
В этой публикации, друзья, поговорим об обновлении сертификатов Secure Boot Microsoft 2023. В 2026 году истекает срок действия цифровых сертификатов UEFI/Windows, выданных Microsoft, которые используются Secure Boot для проверки доверия компонентов при загрузке компьютера. Как это может касаться нас, обычных пользователей? Что нам делать? В связи с этим какие могут возникнуть проблемы?
↑ Сертификаты семейства CA от Microsoft
Secure Boot — это ключевой компонент UEFI, который обеспечивает цепочку доверия при загрузке системы. Он предотвращает запуск неавторизованного кода (например, буткитов) на этапе UEFI, проверяя цифровые подписи файлов загрузки (bootloaders, драйверов, kernel'ов) с помощью набора доверенных корневых сертификатов. Эти сертификаты хранятся в специальных базах переменных UEFI.
Microsoft, как основной поставщик операционных систем для UEFI-устройств, управляет несколькими из этих сертификатов, в частности, сертификатами семейства CA. Любой цифровой сертификат имеет ограниченный срок действия, поскольку уровень его криптографической защиты уже не соответствует современным стандартам.
В 2026 году истекают сроки действия нескольких ключевых сертификатов семейства CA, выпущенных в 2011 году. Взамен их в 2023 году Microsoft ввела новые сертификаты семейства CA. Они используют современные криптографические алгоритмы, обеспечивающие более высокий уровень защиты и соответствующие актуальным стандартам безопасности. Что это за сертификаты?
Истекающий сертификат (2011) | Дата истечения | Новый сертификат (2023) | Назначение |
Microsoft Corporation KEK CA 2011 | Июнь 2026 | Microsoft Corporation KEK CA 2023 | Подпись обновлений DB и DBX |
Microsoft Windows Production PCA 2011 | Октябрь 2026 | Windows UEFI CA 2023 | Подпись загрузчиков Windows |
Microsoft UEFI CA 2011 | Июнь 2026 | Microsoft UEFI CA 2023 | Подпись партнёрских загрузчиков и EFI-приложений |
Microsoft UEFI CA 2011 | Июнь 2026 | Microsoft Option ROM CA 2023 | Подпись партнёрского оборудования |
Ротация на CA 2023 началась ещё в 2023 году (анонс и подготовка). Активный переход, кающийся OEM-партнёров Microsoft, длится с 2024 года. И вот, друзья, пришла пора решать вопрос CA 2023 в контесте компьютеров пользователей и корпораций, использующих Secure Boot. Старые сертификаты необходимо обновить.
Если вы не используете Secure Boot, т.е. эта функция UEFI у вас отключена, вам ничего не нужно делать.
↑ Как обновить сертификаты CA от Microsoft
На современных компьютерах с Windows старые сертификаты семейства CA от Microsoft обновляются автоматически через Центр обновления Windows. Windows, будучи доверенной операционной системой, имеет доступ к переменным UEFI, где хранятся цифровые сертификаты. Обновления сертификатов доступны только для поддерживаемых Windows. Из пользовательских это актуальная Windows 11 и Windows 10 при условии продления её поддержки. Т.е., друзья, для обновления сертификатов на CA 2023 у вас просто должны быть включены системные обновления.
Для корпоративных сред обновление сертификатов Secure Boot CA 2023 предусмотрено централизованно, с использованием специальных инструментов Microsoft для IT-специалистов.
Обновить сертификаты семейства CA от Microsoft также можно путём обновления прошивки UEFI. Естественно, при условии, что производитель материнской платы или ноутбука предусмотрел такое обновление. Производители вроде Dell, HP, Lenovo и Asus уже выпускают для своих устройств начиная с 2023 года выпуска соответствующие UEFI-патчи, которые добавляют новые сертификаты прямо в переменные UEFI.
↑ Что будет, если не обновить сертификаты CA от Microsoft
Если не обновить сертификаты семейства CA от Microsoft, компьютер будет загружаться и работать как раньше. Но мы не будем получать новые обновления безопасности для загрузчика и системы защиты (вместе с обновлениями Windows). Что в разы снизит эффективность технологии Secure Boot и повысит риск заражения буткитами (их современнейшими разработками).
Другой аспект вопроса: вероятно, нередки будут случаи проблем из-за несовместимости версий сертификатов CA.
↑ Какие проблемы могут повлечь новые сертификаты CA от Microsoft
Друзья, все возможные проблемы, с которыми мы, пользователи можем столкнуться из-за появления новых сертификатов CA от Microsoft, пока что неясны. Определённо можно сказать только о двух.
У нас могут возникнуть проблемы при сбросе настроек UEFI, если прошивка не обновлялась или не содержит новые сертификаты. Ведь ранняя реализация Secure Boot заблокирует запуск Windows с новыми сертификатами CA от Microsoft. Отключение Secure Boot в UEFI решит вопрос с запуском Windows. Чтобы вернуться к использованию Secure Boot, необходимо выполнить определённые действия с использованием специальной recovery-флешки.
На новейших компьютерах (или с обновлённым UEFI), Secure Boot которых будет требовать только новый сертификат Windows UEFI CA 2023, не сможем выполнить загрузку с флешки с ПО без этих сертификатов. Придётся отключать Secure Boot. Чтобы не отключать, создатели Rufus – популярнейшей утилиты для записи загрузочной флешки - уже предусмотрели решение. Начиная с версии 4.10 Rufus предупреждает нас о том, что мы записываем ISO-образ, который может не пройти безопасную загрузку (Secure Boot) в новых системах UEFI. И рекомендует использовать новую версию образа, которая может (но не факт) содержать новые сертификаты.
А при использовании установочного ISO-образа Windows 11 Rufus опционально предлагает нам использование сертификата Windows CA 2023. Так, в числе опций утилиты перед записью флешки нам будет доступна опция «Use 'Windows CA 2023' signed bootloaders», она означает «Использовать загрузчики, подписанные сертификатом Windows CA 2023». Включение этого пункта гарантирует, что флешка загрузится на компьютере, где Secure Boot требует только новый сертификат Windows CA 2023.
