SEAN GLADWELL via Moment / Getty Images 关注ZDNET: 在Google上将我们添加为优选来源。ZDNET的关键要点 Linux面临新的安全启动问题。但是，这并没有一些人想的那么严重。以下是你可以采取的措施来解决这个问题。早在2000年代末，计算机固件由传统BIOS转向了UEFI（统一可扩展固件接口）。随之而来的是安全启动。该微软支持的安全机制旨在阻止传统操作系统安全无法检测到的引导包和固件级恶意软件。虽然安全启动操作起来有些麻烦，但它确实达到了目的。对于那些试图在Windows PC上安装和运行Linux的人来说，这种设置确实是一件麻烦事。时至今日，在安全启动首次出现在Windows 8 PC上后的14年，它再次有潜力让Linux用户感到头痛。再次，一些Linux爱好者感到恐慌，说“微软正在锁定Linux！”但实际上并非如此。正如微软所指出的，“安全启动证书始终有过期日期。”是的，确实如此。此外，正如Ed Bott最近观察到的，虽然对Windows用户而言并没有那么烦人，但仍然有人可能会因为安全启动证书过期而遇到麻烦。好消息是，这种担忧对Linux而言并不是世界末日。你现有的系统不会因为日期的更替而突然拒绝启动。但这确实是一个关于Linux界在过去十多年里如何处理安全启动的真实时刻，也是用户掌控更多的机会，而不是默默希望微软和OEMs永远保持灯火通明。让我们深入了解实际发生的事情、为什么与Linux相关，以及你在2026年及以后的时间前应该做些什么。 一个旧的妥协到期 要理解原因，你必须追溯到2011到2012年，当时UEFI安全启动首次在大众市场PC上发布。设计目标听起来是合理的：通过让固件验证引导加载程序、内核和选项ROM的签名来阻止不受信任的代码在操作系统运行之前执行。然而，事实上，微软实际定义了几乎所有消费者PC的信任根。大多数硬件供应商在出厂时都在固件中嵌入了一组密钥和证书，而不是创建或让用户创建安全启动密钥和证书。大多数这些密钥和证书都是“微软第三方UEFI CA”，能够签署第三方引导加载程序。想要在这些系统上“只启动”的发行版基本上有两个选择：提供说明让用户禁用安全启动。或者顺应这一点，获得由微软的UEFI CA签署的微型第一阶段引导加载程序（shim）。大多数主要Linux发行版选择了shim。著名的Linux程序员Matthew Garrett创造了这种shim方法，现在仍在使用。这个方法是一个务实的妥协：微软验证shim，shim验证Linux的其余引导链，用户无需手动编辑UEFI密钥数据库或关闭安全功能。这个妥协表现得相当好。在过去的十多年里，你可以购买一台随机的笔记本电脑，开启安全启动，然后启动Fedora、Ubuntu、openSUSE、Debian、RHEL等，这都归功于存储在你固件中的微软密钥以及在EFI系统分区中的微软签名的shim二进制文件。然而，证书与妥协不同，它们是有过期日期的。2026年会有什么过期？今天戏剧的根源是微软一直用来签署安全启动组件的2011年证书接近其正式有效期的结束。其中一些2011年时代的微软安全启动证书在2026年到期，分为两个主要波段（年中和年末）。为了解决这个问题，微软在2023年创建了一组新的安全启动证书并开始向OEM和平台分发。固件更新应该默默地完成这项工作：添加新密钥，保留旧密钥以保持兼容性，并确保未来的引导组件能够得到验证。对于仅限Windows的商家，这基本上是一个自动修补过程。对Linux界而言，事情就不太一样。人们一听到“证书到期”，就会想象类似于SSL证书的东西：一旦过了“notAfter”日期，客户端就拒绝与服务器通信。这种心态让2026年听起来就像一个悬崖边缘：6月24日来了，突然你的发行版无法启动。安全启动不是那样工作的。如果你的固件今天已经信任2011年的微软UEFI CA，它几乎肯定会在日历进入过期窗口后继续信任它。现有的Linux...