Microsoft ประกาศว่าใบรับรอง Secure Boot ดั้งเดิมที่ออกในปี 2554 จะเริ่มหมดอายุในเดือนมิถุนายน 2569 คุณลักษณะความปลอดภัยนี้จะตรวจสอบความสมบูรณ์ของซอฟต์แวร์ในระหว่างการเริ่มต้นคอมพิวเตอร์และป้องกันไม่ให้รหัสที่ไม่น่าเชื่อถือทำงาน อุปกรณ์ที่ไม่ได้รับใบรับรองใหม่ปี 2023 ก่อนถึงกำหนดเวลาจะยังคงบูตและทำงานได้ตามปกติ แต่จะสูญเสียความสามารถในการรับการอัปเดตในอนาคตสำหรับกระบวนการบูตครั้งแรก
Secure Boot มีอยู่ในพีซีทุกเครื่องที่ผลิตตั้งแต่ปี 2554 โดยมีการติดตั้ง Windows 10 หรือ 11 ไว้ล่วงหน้า โดยทำหน้าที่เป็นกลไกการเชื่อถือตามใบรับรองดิจิทัลที่จัดเก็บไว้ในเฟิร์มแวร์ UEFI การหมดอายุจะส่งผลต่อใบรับรอง Microsoft Corporation KEK CA 2011 และ Microsoft UEFI CA 2011 ในเดือนมิถุนายนเป็นหลัก และ Microsoft Windows Production PCA 2011 ตามมาในเดือนตุลาคม 2026
จะเกิดอะไรขึ้นหลังจากใบรับรองเก่าหมดอายุ
คอมพิวเตอร์ที่ได้รับผลกระทบจะรักษาฟังก์ชันพื้นฐานไว้โดยไม่หยุดชะงักในทันที การอัปเดต Windows มาตรฐานยังคงติดตั้งได้ตามปกติ อย่างไรก็ตาม การป้องกันเฉพาะต่อภัยคุกคามในระยะบูตเริ่มแรกจะไม่ได้รับการอัปเดตอีกต่อไป
ซึ่งรวมถึงการแก้ไขช่องโหว่ในห่วงโซ่การบูตและการอัปเดตรายการลายเซ็นที่ได้รับอนุญาตและถูกเพิกถอน Microsoft อธิบายว่ากระบวนการนี้เป็นหนึ่งในการดำเนินการบำรุงรักษาความปลอดภัยที่มีการประสานงานที่ใหญ่ที่สุดในระบบนิเวศของ Windows
การอัปเดตกำลังดำเนินการโดย Microsoft และผู้ผลิต
บริษัทได้เริ่มเปิดตัวใบรับรองใหม่ปี 2023 ผ่านการอัพเดต Windows ทุกเดือน อุปกรณ์ Windows ที่รองรับจะได้รับการเปลี่ยนแปลงเหล่านี้โดยอัตโนมัติในหลายกรณี ผู้ผลิตฮาร์ดแวร์ (OEM) เผยแพร่การอัปเดตเฟิร์มแวร์เสริมเพื่อให้มั่นใจว่าสามารถใช้งานร่วมกันได้อย่างสมบูรณ์
โดยทั่วไปพีซีที่ผลิตตั้งแต่ปี 2024 เป็นต้นไปจะมีใบรับรองที่อัปเดตในเฟิร์มแวร์อยู่แล้ว สำหรับรุ่นเก่า การใช้การอัปเดต Windows และผู้ผลิตร่วมกันจะช่วยแก้ไขปัญหาได้ในสถานการณ์ส่วนใหญ่
วิธีการตรวจสอบและปรับใช้การอัพเดตที่จำเป็น
ผู้ใช้สามารถตรวจสอบสถานะของใบรับรองผ่านคำสั่ง PowerShell หรือการตรวจสอบตัวแก้ไขรีจิสทรี Microsoft ได้ให้คำแนะนำโดยละเอียดสำหรับการตรวจสอบและการปรับใช้ในสภาพแวดล้อมภายในบ้านและองค์กร
ในสถานการณ์ทางธุรกิจ ผู้ดูแลระบบไอทีจัดการกระบวนการด้วยเครื่องมือของตนเอง คำแนะนำคือให้ติดตั้งการอัปเดตโดยเร็วที่สุดเพื่อหลีกเลี่ยงสถานะความปลอดภัยที่ลดลงหลังเดือนมิถุนายน 2569
ผลกระทบต่อฟีเจอร์ที่ขึ้นอยู่กับ Secure Boot
คุณลักษณะต่างๆ เช่น การปรับปรุง BitLocker และความสมบูรณ์ของโค้ดเมื่อบูตเครื่องจะขึ้นอยู่กับสายโซ่แห่งความไว้วางใจที่ยังคงอยู่ โปรแกรมโหลดบูตของบริษัทอื่นและส่วนประกอบเสริมอาจได้รับผลกระทบหากต้องการการอัปเดตที่เชื่อถือได้
การปิดใช้งาน Secure Boot เป็นทางเลือกที่เป็นไปได้ แต่ต้องใช้คีย์การกู้คืนสำหรับดิสก์ที่เข้ารหัสด้วย BitLocker Microsoft ตอกย้ำว่าการรักษาคุณลักษณะนี้ไว้เป็นสิ่งสำคัญในการป้องกันรูทคิทและมัลแวร์ขณะบูต
การเตรียมการที่แนะนำสำหรับผู้ใช้และบริษัท
ติดตั้งการอัปเดต Windows ที่ค้างอยู่ทั้งหมดเป็นประจำ ตรวจสอบเพื่อดูว่าผู้ผลิตพีซีของคุณเสนอการอัปเดตเฟิร์มแวร์ล่าสุดหรือไม่ ตรวจสอบการสื่อสารอย่างเป็นทางการของ Microsoft ในหัวข้อนี้เพื่อดูคำแนะนำเฉพาะ
การเปลี่ยนแปลงครั้งนี้ถือเป็นการต่ออายุตามแผนของรากฐานแห่งความไว้วางใจหลังจากใช้เวลานานกว่า 15 ปี ใบรับรองใหม่ได้ขยายความถูกต้องจนถึงปี 2038 และเสริมสร้างความปลอดภัยโดยรวมของระบบ
