微軟Secure Boot舊版憑證2026年陸續到期，紅帽提醒RHEL用戶更新韌體信任資料庫

Secure Boot是UEFI韌體的安全機制，用來驗證開機元件的數位簽章，防止未受信任的bootkit或rootkit在作業系統啟動前載入。在安全開機進行的過程中，裝置製造商會將已知的公開憑證註冊至其韌體中的安全開機資料庫，以Red Hat Enterprise Linux（RHEL）為例，安裝時會啟動名為shim的小型第一階段開機載入程式，shim會驗證後續的應用程式，並僅允許同樣完成正確簽署程序的應用程式執行，而紅帽提供的shim內嵌一個或多個專屬於RHEL的公開憑證，有了這些憑證，可允許後續階段進行開機：包括GRUB開機載入程式、系統核心、統一核心映像（UKI） 等。若這個信任鏈中的任何元件未經正確簽署，開機程序將無法繼續。

所謂的shim，是指Linux發行版為了相容UEFI Secure Boot而設計的「過渡式（bridge）」第一階段開機程式。在大部分電腦上，UEFI韌體內建信任的是微軟的Secure Boot憑證，而不是各家Linux發行版的憑證。因此 Linux社群想要在不要求使用者手動關閉Secure Boot的情況下開機，就需要被微軟簽署過的小型程式，而shim是由微軟的Secure Boot憑證簽署的元件，當微軟停止使用2011憑證簽署新的shim後，Linux發行版必須改用新的2023憑證。

微軟於5月更新Secure Boot憑證支援說明，包括Microsoft Corporation KEK CA 2011、Microsoft UEFI CA 2011，以及Microsoft Windows Production PCA 2011等憑證，將分別於2026年6月至10月到期；對應的新憑證包括Microsoft Corporation KEK 2K CA 2023、Windows UEFI CA 2023，以及Microsoft Option ROM UEFI CA 2023。

微軟表示，未更新至2023年憑證的Windows裝置仍可正常開機並接收一般Windows更新，但未來將無法取得Windows開機管理程式（Windows Boot Manager）、Secure Boot資料庫與撤銷清單等開機程序信任鏈相關更新，也可能無法部署開機層級漏洞的防護措施。

紅帽則提醒RHEL用戶，微軟自2025年10月起，以2011年與2023年兩組金鑰簽署Linux開機載入器shim，分別為Microsoft Windows UEFI Driver Publisher（2011年憑證），以及Microsoft UEFI CA 2023（2023年憑證）；但2026年6月之後，新版shim將僅以2023年金鑰簽署。Red Hat已為受支援的RHEL 9與RHEL 10提供雙簽署shim，RHEL 8也預計於2026年6月取得更新。該公司建議管理員更新韌體中的Secure Boot資料庫，以及shim元件，但不應移除或撤銷2011年憑證。