微软旧版安全启动证书本月到期，Linux 系统面临潜在风险

东苑

据科技媒体 Linuxiac 今天报道，微软的旧版安全启动证书即将到期，未来将影响 Linux 生态系统。



IT之家在此援引 Linuxiac，微软于 2011 年发布 UEFI Certificate Authority 机制，长期以来被应用在各种 PC 的安全启动信任链中，而如今，2011 版证书将在本月正式到期。

因此，各大 Linux 发行版必须将其 Shim 引导加载器签名流程，迁移到 2023 年的 UEFI CA 证书体系。

不过对于 Windows 来说，迁移证书的过程几乎无感。因为绝大多数 PC 厂商都会在固件中预装并信任微软的签名密钥，启动 Windows 时无需进行额外工作。

而对于 Linux 来说，大多数发行版系统无法直接受到 PC 固件信任，因此社区开发者决定使用微软签名的 Shim，获得 PC 固件信任后再启动 GRUB、Linux Kernel。

同时，微软 2011 年证书过期后，大多数 Linux 发行版预计都能够正常启动，因为证书过期并不会自动删除固件的旧密钥、撤销受信任启动程序。风险主要集中在 2011 证书迁移到 2023 证书过程中，如果较老的 PC、双系统设备、新版 Linux 安装镜像无法识别微软 2023 证书，则可能出现启动问题。

对于普通用户来说，目前最好的解决方案是及时安装最新版 Linux 系统、保持 Shim / UEFI 固件为最新，不要手动修改安全启动密钥，不正确的操作可能导致系统无法启动。

com2

谢谢楼主分享！

wing6

感谢分享！

hanber3000

精品文章，优秀！