Allison Robbert/《华盛顿邮报》通过Getty Images 关注ZDNET：将我们添加为Google的优选来源。ZDNET的关键要点：安全启动保护现代Windows和Linux PC。微软的安全启动证书将于2026年6月和10月到期。大多数PC用户如果安装最新更新就没问题。去年的Windows 10支持结束截止日期对消费者和IT专业人员都是一个大考验。恭喜 - 大家都通过了！不过在您开始庆祝之前，请注意本周即将到来的另一个关键到期日。四个重要的微软安全证书正在到期，首个证书今天，即2026年6月24日到期。微软在更换这些旧证书方面表现得非常透明，为消费者和企业客户提供了指导。它还添加了一个简单的方法，让任何人都可以使用内置的Windows安全实用程序检查证书状态。（更多细节将在本文后期说明。）哦，现在可能是确保保存好BitLocker恢复密钥的最好时机，以防万一。这个截止日期比Windows 10的支持结束日期稍微复杂一些。要了解原因，我们需要谈谈自2011年以来设计和制造的每台Windows PC中都包含的一个核心安全功能：安全启动。这个功能在以Windows 10和Windows 11销售的新PC上默认启用，充当一个守门人，只允许可信的软件在启动时运行。如果有人试图干扰操作系统或从其他设备启动，安全启动将阻止此尝试。另外：如何将您的“不兼容”Windows 10 PC免费升级到Windows 11。所有当前支持的Windows版本都支持安全启动，越来越多的Linux发行版也支持，包括Ubuntu、Fedora、Linux Mint、OpenSUSE等。安全启动证书发生了什么？安全启动依赖于一系列加密证书，验证每个启动组件的签名。最重要的证书之一是密钥注册密钥（KEK），有时也称为密钥交换密钥。它位于每台现代PC的UEFI固件中，并与受信任的平台模块（TPM）一起管理受信任引导加载程序的列表，这些引导加载程序包含在允许的签名数据库（DB）和禁止的签名数据库（DBX）中。微软发布的生产证书授权（CA）和UEFI CA证书对于安全启动的操作也至关重要，并且需要更新。另外：微软终于将可移动任务栏带入Windows 11 - 现在谁可以尝试它。如果您在过去15年内购买了PC，它几乎肯定包含来自2011年的微软颁发的KEK和UEFI CA证书，这些证书计划在2026年6月到期。要更新这些证书，您需要访问信任的根密钥 - 平台密钥，由硬件OEM管理。到期证书 到期日期 新证书 目的 *微软公司 KEK CA 2011 2026年6月24日 微软公司 KEK 2K CA 2023 签署安全启动签名数据库和撤销签名数据库的更新 微软Windows生产PCA 2011 2026年10月19日 Windows UEFI CA 2023 签署Windows引导加载程序 微软UEFI CA 2011* 2026年6月27日 微软UEFI CA 2023 签署第三方引导加载程序和EFI应用程序 微软UEFI CA 2011* 2026年6月27日 微软选项ROM UEFI CA 2023 签署第三方选项ROM 表格来源于 Windows安全启动证书到期和CA更新（微软支持） *注意：微软UEFI CA 2011已被两个签名替代，以允许组织信任第三方选项ROM，而无需同时信任第三方引导加载程序。当安全启动证书到期时，它们将不再被允许验证引导软件。这听起来并不那么可怕。您的计算机仍然会正常启动和运行，但将无法接收Windows Boot Manager、安全启动数据库和撤销列表的更新，以及针对启动链中新发现的漏洞的修复。您可以关闭安全启动，但这样做意味着您可能无法访问使用BitLocker加密的磁盘，而无需提供恢复密钥。微软指出，依赖于安全启动信任的情况（例如，BitLocker增强、安全级别代码完整性或第三方引导加载程序和选项ROM）如果需要更新的安全启动信任，也可能会受到影响。2023年，微软发布了这些安全启动证书的替代品。不过，安全启动证书模型的整个目的在于这些证书不容易被替换 - 如果它们很容易被替换，世界上每个恶意软件开发者都会集中精力做那些事情，创建在启动时运行且难以被检测的恶意根套件。同时：微软在6月更新中修补了创纪录的198个Windows漏洞 - 其中3个是零日漏洞。为了准备……