LWN.net 需要你！没有订阅者，LWN 就无法存在。请考虑注册订阅，帮助维持 LWN 的出版。启用安全启动的 Linux 用户，无论是有意还是无意，都依赖于将于 9 月到期的微软密钥。在此之后，微软将不再使用该密钥来签署用于 Linux 发行版启动内核的 shim 第一阶段 UEFI 引导加载程序。但是，自 2023 年以来提供的替代密钥可能并未安装在许多系统上；更糟的是，它可能需要硬件供应商为系统固件发布更新，而这可能会发生也可能不会发生。似乎绝大多数系统不会在此过程中丢失，但可能需要发行商和用户付出额外的努力。Mateus Rodrigues Costa 于 7 月 8 日在 Fedora devel 邮件列表上提出了这个问题。他注意到伴随“本月 Windows 11 累积更新”的警告；它提到了计划于 2026 年 6 月开始到期的安全启动证书。这些特定的证书与用于 shim 的证书是不同的，后者到期得早得多。在任何情况下，证书到期的问题是 Linux 世界需要解决的问题。情况相当复杂。Daniel P. Berrangé 指向 Linux Vendor Firmware Service (LVFS) 网站上的一页进行了描述。LVFS 是 fwupd 和其他从 Linux 更新系统固件工具的家。LVFS 和 fwupd 是 2020 年 LWN 文章的主题。问题复杂而多变。为了安全启动到 Linux 内核，UEFI 启动过程要求使用未到期的固件数据库中的密钥签署第一阶段引导加载程序。这些密钥包含在证书中，证书中还有其他信息，如到期日期和签名。证书到期问题在于安全启动系统上安装新发行版时可能会出现；安装的 shim 将具有发行版特定的密钥，并可作为运行其他程序（例如 GRUB）使用这些密钥的信任根。当前，shim 是用 2011 年的微软密钥签署的，该密钥于 9 月 11 日到期。超过这一点，安装介质将不再启动，除非它有一个用 Microsoft 2023 UEFI 密钥为第三方签署的更新 shim（这不同于 Windows 更新中提到的特定密钥）。任何已安装的发行版应有一个使用其自己的密钥签署的引导加载程序，仍将继续启动。但许多系统的固件数据库中缺乏微软的新密钥，有些则同时有旧密钥和新密钥，而有些可能只拥有新密钥，此时无法安全启动 Linux 安装介质。供应商可以（并且希望大多数都会）提供添加新密钥的固件更新，而安装介质可以使用签名的 shim 创建，但这些更新必须在系统上安装。这就是 LVFS 和 fwupd 的作用。LVFS 是各种类型供应商固件更新的存储库，fwupd 和其他工具可以使用这些更新从 Linux 安装所需的组件。Berrangé 指出，老版本的 fwupd 无法解决所有问题，“但最近的版本已增强以处理 Linux 用户需要看到的更新，这应能减轻影响的最坏情况”。然而，用户仍然可能会面临一些波折：“用户应该'意识'到可能出现的麻烦，但希望'担忧'的最坏情况将由操作系统供应商和维护者处理。”LVFS 的创建者兼维护者 Richard Hughes 也表示同意，他指出，人们的系统能获得更新安全启动功能的各种途径。供应商可能提供完整的固件更新，这将（假定）添加新的数据库，包括新的微软密钥。另一个途径是