肖恩·格拉德威尔/ Moment 通过Getty 随时关注ZDNET：将我们添加为谷歌上的首选来源。ZDNET 的主要观点 Linux 现在面临新的安全启动问题。但这并没有一些人所想象的那么糟糕。以下是您可以采取的措施来解决此问题。回到 2000 年代末期，计算机固件正在从传统 BIOS 转向 UEFI（统一可扩展固件接口）。随之而来的是安全启动。这种微软支持的安全机制旨在阻止启动程序和固件级恶意软件，而传统操作系统安全无法实时检测。安全启动是混乱的，但它确实完成了工作。对于试图在 Windows 电脑上安装和运行 Linux 的人来说，这种设置是一种真正的麻烦。至今距离安全启动首次出现在 Windows 8 电脑上已经过去了14年，它再次有可能给 Linux 用户带来真正的头痛。再次，一些 Linux 爱好者感到恐慌，认为“微软正在锁住 Linux！”这并不是事实。正如微软所指出的，“安全启动证书一直都有过期日期。” 是的，确实如此。此外，正如 Ed Bott 最近所观察到的，虽然对 Windows 用户来说并没有那么烦人，但有些人可能仍然会遇到过期安全启动证书的问题。好消息是这个问题对 Linux 不是灾难性的。您现有的系统不会因为日期的修改而突然醒来拒绝启动。但这是反映 Linux 世界在过去十多年如何处理安全启动的真实时刻，也是用户更多地掌控局面的机会，而不是静静地希望微软和 OEM 永远保持灯火通明。此外：我再次测试了在 Linux 上的最佳 MacOS 替代品 - 现在它甚至能模拟液态玻璃 让我们来走一遍实际发生了什么、为什么 Linux 会参与其中，以及您在 2026 年及以后应该做些什么。旧的妥协到期 为了理解原因，您必须回到 2011 到 2012 年，当时 UEFI 安全启动首次出现在大众市场的 PC 上。设计目标听起来很合理：通过让固件验证引导加载程序、内核和选项 ROM 的签名，以阻止未受信任的代码在操作系统之前运行。然而，实际上，微软有效地为几乎每一台消费级 PC 定义了信任根。大多数硬件供应商在固件中嵌入了一组密钥和证书，而不是创建或让用户创建安全启动密钥和证书。这些密钥和证书大多数是“微软第三方 UEFI CA”，可以签署第三方引导加载程序。想要在这些系统上“直接引导”的发行版基本上有两个选择：向用户提供禁用安全启动的说明，或者配合并获得由微软的 UEFI CA 签名的小型第一级引导加载程序（shim）。大多数主要的 Linux 发行版选择了 shim。著名的 Linux 程序员马修·加勒特（Matthew Garrett）创建了 shim 方法，并且它至今仍在使用。这种方法是一个务实的妥协：微软验证 shim，shim 验证 Linux 引导链的其余部分，用户无需手动编辑 UEFI 密钥数据库或关闭安全功能。此外：Windows 子系统为 Linux 给开发者留下了继续使用微软的强大理由 - 这是为什么 这种妥协效果 remarkably well。超过十年来，您可以购买任意一款笔记本电脑，开启安全启动，引导 Fedora、Ubuntu、openSUSE、Debian、RHEL 等发行版，完全得益于存储在您的固件中的微软密钥和您的 EFI 系统分区中的微软签名 shim 二进制文件。但证书与妥协不同，它们有过期日期。那么2026年会发生什么呢？今天戏剧的根源在于，微软用于签署安全启动组件的2011 年证书即将到达其正式有效期的尽头。几个2011 年时代的微软安全启动证书将在 2026 年到期，分两波主要波次（年中和年末）。为了解决这个问题，微软于 2023 年创建了一组新的安全启动证书，并开始将其分发给 OEM 和平台。固件更新应该安静地进行这些工作：添加新密钥，保留旧密钥以保持兼容性，并确保未来的启动组件可以得到验证。此外：微软在 Build 2026 上继续其对 Linux 的大力推动 对于仅支持 Windows 的平台，这基本上是一个自动修补的工作。对于 Linux 世界来说，情况则有所不同。当人们听到“证书过期”时，他们往往会想象类似于 SSL 证书的东西：当过了“notAfter”日期后，客户端拒绝与服务器通信。这种心理模型让2026年听起来像是一个悬崖边缘：6月24日到来时，您的发行版突然无法启动。安全启动并不是这样工作的。如果您的固件今天已经信任 2011 年的微软 UEFI CA，它几乎肯定会在日历翻入过期窗口后继续信任它。现有的 Linux 安装