Windows Secure Boot 憑證 6 月到期　舊電腦恐失去安全更新

根據消息，首批到期的憑證包括「Microsoft Corporation KEK CA 2011」，將於 6 月 24 日失效；「Microsoft UEFI CA 2011」則會在 6 月 27 日到期，而最重要的「Microsoft Windows Production PCA 2011」將於 10 月 19 日失效。該憑證主要用於簽署 Windows 開機載入程式，因此被視為對長期安全性影響最大的部分。

Microsoft 已於今年 1 月開始透過 Windows Update 推送 2023 新版 Secure Boot 憑證，並持續在每月更新中擴大部署範圍，包括最新的 KB5089549 更新。

官方表示，即使憑證過期，Windows 裝置仍然可以正常開機及接收一般 Windows 更新。不過系統將無法再接收新的 Secure Boot 資料庫更新、憑證撤銷清單以及開機層級漏洞修補。近年曾出現的 BlackLotus 等攻擊，便是專門針對此類開機安全層進行入侵。

用戶可透過「Windows 安全性」中的「裝置安全性」頁面查看 Secure Boot 狀態。Microsoft 亦已發佈 KB5062710 支援文件，說明憑證到期的影響以及檢查方法。

消息指出，Windows 11 支援版本大多會自動取得更新，但部分較舊硬件及不受支援的 Windows 10 裝置，可能無法順利安裝新憑證。尤其某些舊型號主機板，需要 OEM 廠商同步提供 UEFI 韌體更新，才能完整支援新的憑證鏈。

若裝置製造商已停止提供韌體更新，即使 Windows 已安裝相關更新，系統仍可能繼續使用 2011 舊憑證。至於未加入 Extended Security Updates（ESU）計劃的 Windows 10 用戶，消息指 6 月 24 日後將不會收到新的 Secure Boot 憑證更新。

Microsoft 建議用戶盡快安裝最新 Windows 更新，並確認系統是否已套用 2023 憑證。如完成更新後仍未顯示新憑證，則需聯絡裝置製造商查詢韌體支援情況。