微软旧版 Windows 安全启动核心证书今日起陆续过期：不影响 Win11 设备启动但影响后续安全，绕过 TPM 偷渡用户更新失败几率更高

6 月 24 日消息，微软为 Windows Secure Boot（安全启动）机制签发的三组核心证书于 2026 年 6 月 24 日起陆续进入过期状态。

这些证书自 2011 年签发以来，一直是验证 PC 启动过程中每个固件与软件组件数字签名的信任锚点。此次更新涉及将系统固件中的信任链从 2011 年的旧证书迁移至 2023 年签发的新证书。

当然，微软已在该日期前将 Secure Boot 2023 证书更新推送至所有符合条件的 Windows 11 和 Windows 10 电脑。如果您的电脑已收到 2026 年 6 月的“星期二补丁”更新，那么无需您进行任何操作。对此，微软回应 Windows Latest 称：

通过此次更新，Windows 质量更新包含更多高置信度的设备定向数据，扩大了有资格自动接收新 Secure Boot 证书的设备覆盖范围。设备仅在展示足够的成功更新信号后才会接收新证书，从而维持受控且分阶段的推出。

根据微软官方说明及戴尔等厂商公布的清晰时间线，本次证书过期的具体节点为：

微软公司密钥交换密钥证书（Microsoft Corporation KEK CA 2011）于 2026 年 6 月 24 日过期；

微软 UEFI CA 2011 证书于 2026 年 6 月 27 日过期；

微软 Windows 生产 PCA 2011 证书则将于 2026 年 10 月 19 日过期。

对于普通用户而言，证书过期之后不会导致 Win11 突然无法启动。依赖旧证书的设备仍可正常开机，应用程序也不会出现重大问题。微软将此次截止日期设计为一次后台基础设施的更新，而非立即生效的“终止开关”。

真正的风险在于后续。如果设备未能完成新证书的迁移，将失去接收未来启动层面安全补丁的能力。

Windows 将停止为这些未更新的设备更新 Windows 启动管理器（Windows Boot Manager）、安全启动数据库（DB）以及撤销黑名单（DBX）。这使得硬件在面对 BlackLotus 等专门的固件级启动套件（Bootkit）时处于无防护状态 —— 这类恶意软件在传统杀毒软件启动之前就已感染系统。

安全启动的设计初衷正是为了防范此类引导程序病毒，它们会在操作系统及大多数其他代码之前完成加载，极难被检测和清除。

对大多数用户而言，修复方案会通过每月的 Windows 更新渠道静默完成。Windows 会自动将旧证书替换为“Microsoft Corporation KEK 2K CA 2023”等新证书。

2024 年起出厂的新款 PC 已在工厂预装了这些新密钥。注意到，微软在 2024 年 2 月 13 日及之后的更新中已包含将 Windows UEFI CA 2023 证书应用到安全启动允许签名数据库（DB）的能力。

然而，较旧的设备与自行组装的 PC 可能面临问题。某些老款主板架构需要手动刷新 BIOS，才能支持 2023 年证书所需的更大加密密钥尺寸。

技术人员还提到，在那些曾使用手段绕过 CPU 或 TPM 硬件检查来安装 Windows 11 的机器上，更新失败率更高。微软也明确警告，在安全启动禁用的情况下无法更新证书。对于企业 IT 管理员，微软建议通过 Intune 监控报告验证更新状态，并在推送前对每种硬件型号的代表性设备进行测试。

用户可通过以下方式检查设备的安全启动状态：打开“Windows 安全中心”应用，点击“设备安全性”，在“安全启动”区域查看状态徽章；或按 Windows 键 +R 打开运行对话框，输入 msinfo32 后回车，在系统信息中查看“安全启动状态”。

参考资料：

《Windows 安全启动密钥创建和管理指南 | Microsoft Learn》