微软更新源自Windows 8时代的安全启动密钥 让现代PC保持无故障启动

微软本周早些时候发布了Windows11（KB5034765）和Windows10（KB5034763等）的补丁星期二更新。与此同时，该公司还发出提醒，Windows11版本22H2的可选、非安全预览更新（即C和D版本）即将于本月结束。

该公司发布的另一项重要公告是关于安全启动的。微软宣布从2023年开始推出新的安全启动密钥（CA）以取代之前的密钥。即将到期的安全引导密钥（CA）最早来自2011年，是在雷德蒙德巨头首次推出安全引导功能的Windows8期间签发的。这些证书将在几年后的2026年到期，届时它们的将达到15岁高龄。

证书颁发机构（CA）或密钥主要帮助管理引导加载程序、驱动程序、固件和各种应用程序等各种组件的真实性和有效性。

微软在其技术社区博文中宣布了这一变化：

微软与我们的生态系统合作伙伴合作准备推出替代证书，为未来的安全启动设置新的统一可扩展固件接口（UEFI）证书颁发机构（CA）信任锚。

请关注分阶段推出的安全启动数据库更新，以增加对新数据库(DB)和密钥交换密钥(KEK)证书的信任。从2024年2月13日起，所有启用安全启动的设备都可选择使用新的数据库更新。

从广义上讲，这将是对安全启动DB（数据库）的一次重大更新，而安全启动DBX并不像安全启动DBX那样定期更新，安全启动DBX列表本质上是不安全模块的撤销列表，这也是它被称为安全启动禁用签名数据库(DBX)的原因。

因此，MicrosoftCorporationKEKCA2011、MicrosoftWindowsProductionPCA2011和MicrosoftUEFICA2011都将被相应的2023版本取代。微软计划分阶段进行，以确保兼容性和无错误推广，并在2026年之前完成整个过程。