科技媒体 borncity 昨日发布博文，报道称微软上周开始，已陆续通知 IT 管理员，注：微软于 2024 年 2 月开始推出新的 2023 安全启动证书颁发机构密钥，取代了 2011 年 Windows 8 时期创建的旧密钥。

　　Windows 8 中引入的 Secure Boot 使用基于 UEFI 证书的信任层次结构，从而确保在系统启动时只执行授权软件。

　　平台密钥位于这个链的顶端，通常由 OEM 或授权代表管理，并作为信任的基础。PK 授权更新密钥注册密钥数据库，该数据库进而授权更新两个关键签名数据库：允许签名数据库和禁止签名数据库。

　　微软在 Technet 中发布了一张表格，列出了即将到期的证书。这篇讨论的是两个证书：Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011，两者都将在 2026 年 6 月到期。

　　这些即将到期的证书将被新的 Microsoft Corporation KEK 2K CA 2023 和 Microsoft Corporation UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 证书所取代。

　　受影响的系统包括运行受支持版本的 Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 Windows Server 2012 R2 的物理和虚拟机。

　　这些系统自 2012 年以来发布，不受影响的系统包括不使用 Secure Boot 来保护 Windows 启动的系统，以及 2025 年发布的带有 Copilot+PC 的新系统。

　　在证书到期后，此前消息称系统将无法启动 Windows。然而，这种情况并不会发生；但是，更大的问题是：一旦这些 CA 到期，系统将无法接收 Windows Boot Manager 和 Secure Boot 组件的安全更新。

　　依赖 Secure Boot 的系统将在 2026 年 6 月后失去安装 Secure Boot 安全更新的能力。

　　微软于 2025 年 2 月发布名为 Make2023BootableMedia.ps1 的 PowerShell 脚本，用于更新 Windows 可启动媒体等，让其兼容新的“Windows UEFI CA 2023”证书。