微軟本周早些時候發佈Windows11(KB5034765)和Windows10(KB5034763等)的補丁星期二更新。與此同時,該公司還發出提醒,Windows11版本22H2的可選、非安全預覽更新(即C和D版本)即將於本月結束。
該公司發佈的另一項重要公告是關於安全啟動的。微軟宣佈從2023年開始推出新的安全啟動密鑰(CA)以取代之前的密鑰。即將到期的安全引導密鑰(CA)最早來自 2011 年,是在雷德蒙德巨頭首次推出安全引導功能的 Windows 8 期間簽發的。這些證書將在幾年後的 2026 年到期,屆時它們的將達到 15 歲高齡。
證書頒發機構(CA)或密鑰主要幫助管理引導加載程序、驅動程序、固件和各種應用程序等各種組件的真實性和有效性。
微軟在其技術社區博文中宣佈這一變化:
微軟 與我們的生態系統合作夥伴合作準備推出替代證書,為未來的安全啟動設置新的統一可擴展固件接口(UEFI)證書頒發機構(CA)信任錨。
請關註分階段推出的安全啟動數據庫更新,以增加對新數據庫 (DB) 和密鑰交換密鑰 (KEK) 證書的信任。從 2024 年 2 月 13 日起,所有啟用安全啟動的設備都可選擇使用新的數據庫更新。
從廣義上講,這將是對安全啟動 DB(數據庫)的一次重大更新,而安全啟動 DBX 並不像安全啟動 DBX 那樣定期更新,安全啟動 DBX 列表本質上是不安全模塊的撤銷列表,這也是它被稱為安全啟動禁用簽名數據庫 (DBX) 的原因。
因此,Microsoft Corporation KEK CA 2011、Microsoft Windows Production PCA 2011 和Microsoft UEFI CA 2011 都將被相應的 2023 版本取代。微軟計劃分階段進行,以確保兼容性和無錯誤推廣,並在 2026 年之前完成整個過程。