微软回应称安全启动 2011 证书本月到期不影响 Win11 设备启动，但影响后续安全

6 月 9 日消息，科技媒体 Windows Latest 昨日（6 月 8 日）发布博文，报道称微软于 6 月 4 日举办第 2 场 Ask Microsoft Anything 直播活动，集中回应了 Windows 11 安全启动证书更新临期问题。

微软表示 Microsoft Corporation KEK CA 2011 证书将于 6 月 24 日过期，但并不代表使用旧版证书的 Windows 10、Windows 11 设备在 6 月 25 日后就无法启动。附上相关截图如下：

微软明确表示，已签名的 DB（允许数据库）更新、注册表键触发机制以及计划任务，在 6 月 24 日后仍会照常工作。

真正变化在于，6 月 24 日后，若设备没有装入新的 2023 版 KEK 证书，微软未来就无法继续为新的 DBX 吊销载荷签名，导致设备可能错过新发现恶意引导程序的封禁更新，安全防护会逐步变弱。

另一个关键时间点是 10 月，微软称 DB 相关证书届时会到期，中间仍能签发少量新的引导管理器。

对企业管理员来说，6 月补丁更新是关键节点。微软称，在 6 月 Patch Tuesday 更新后，大多数主流设备会进入“高置信”状态，由 Intune 自动处理证书更新。

不过微软也提醒，设备分桶不只看品牌和型号，还细分到固件版本与固件日期，因此同型号设备也可能处于不同状态。

如果设备显示“temporarily paused”，通常说明需要 OEM 固件更新。因为系统已检测到固件层兼容风险，贸然更新可能带来失败、蓝屏或 BitLocker 循环。

微软还强调，不要继续等待所有设备自动进入高置信。对白牌机、较老服务器、遥测数据不足的设备，推荐尽快用注册表或 Intune 设置目录策略手动触发更新。

较稳妥的方法是，先挑选每类机型或固件变体中的 1 台活跃设备试点，确认成功后再逐步扩大范围，这样既降低风险，也能把成功遥测回传给微软，帮助同类设备更快进入高置信库。