Microsoft bắt đầu thay thế chứng chỉ Secure Boot sau 15 năm: Windows 10/11 bước vào đợt nâng cấp bảo mật lớn
“Nhân viên kiểm tra an ninh” của Windows 10/11 đổi ca: Chứng chỉ cũ 15 năm sẽ hết hạn vào tháng 6, Microsoft triển khai nâng cấp Secure Boot toàn cầu
Hôm qua (10/2), Microsoft đã phát đi thông báo chính thức khởi động kế hoạch thay thế quy mô lớn chứng chỉ Secure Boot của Windows. Việc chuyển đổi đã bắt đầu được triển khai thông qua các bản cập nhật bảo mật hàng tháng, nhằm thay thế bộ chứng chỉ phiên bản 2011 (sẽ hết hiệu lực vào cuối tháng 6/2026).
Secure Boot có thể hiểu như “nhân viên kiểm tra an ninh” khi máy tính khởi động. Tính năng này chạy trước khi Windows khởi động hoàn toàn, kiểm tra tất cả các thành phần chuẩn bị được nạp (chẳng hạn như bootloader) xem có “giấy tờ hợp lệ” (chữ ký số) hay không. Nếu không hợp lệ hoặc chứng chỉ đã hết hạn, hệ thống sẽ chặn không cho chạy, qua đó ngăn chặn mã độc xâm nhập ngay từ giai đoạn khởi động.
Bộ chứng chỉ gốc này được đưa vào sử dụng từ năm 2011 và theo kế hoạch sẽ kết thúc vòng đời 15 năm vào cuối tháng 6/2026. Để đảm bảo nền tảng bảo mật của hệ sinh thái PC toàn cầu không bị gián đoạn, Microsoft đã phối hợp cùng các hãng OEM như Dell, HP, Lenovo… triển khai dự án chuyển đổi quy mô lớn, liên quan tới firmware, hệ điều hành và phần cứng.
Về cách thức cập nhật, nhằm giảm thiểu ảnh hưởng tới người dùng, Microsoft đã tích hợp chứng chỉ mới vào các bản cập nhật Windows hàng tháng. Với người dùng Windows 11 và các phiên bản Windows còn trong thời gian hỗ trợ, nếu bật cập nhật tự động thì không cần thao tác thêm — hệ thống sẽ tự động hoàn tất quá trình thay thế chứng chỉ.
Dell, HP và nhiều hãng khác cũng cho biết phần lớn thiết bị xuất xưởng từ năm 2024 đã được cài sẵn chứng chỉ mới, còn các thiết bị bán ra trong năm 2025 thì đã hoàn toàn sẵn sàng.
Nếu thiết bị không được cập nhật trước thời điểm chứng chỉ hết hạn vào năm 2026, máy vẫn có thể khởi động và chạy phần mềm hiện có, nhưng sẽ rơi vào trạng thái “giảm cấp bảo mật”. Khi đó, hệ thống sẽ mất khả năng xác thực nghiêm ngặt bootloader, khiến thiết bị dễ bị tấn công bởi các loại mã độc cấp thấp như Rootkit.
Đáng lưu ý, bản cập nhật này chỉ áp dụng cho các phiên bản Windows còn trong vòng đời hỗ trợ chính thức. Điều đó đồng nghĩa với việc các thiết bị chạy Windows 10 (không phải bản ESU) hoặc các hệ điều hành cũ hơn sẽ không nhận được chứng chỉ mới. Microsoft khuyến nghị người dùng vẫn đang sử dụng hệ thống cũ nên sớm nâng cấp phần cứng hoặc hệ điều hành, tránh rơi vào tình trạng mất nền tảng tin cậy gốc và trở thành mục tiêu dễ bị tấn công trên mạng.
Thông tin tham khảo
blogs.windows.com
Secure Boot có thể hiểu như “nhân viên kiểm tra an ninh” khi máy tính khởi động. Tính năng này chạy trước khi Windows khởi động hoàn toàn, kiểm tra tất cả các thành phần chuẩn bị được nạp (chẳng hạn như bootloader) xem có “giấy tờ hợp lệ” (chữ ký số) hay không. Nếu không hợp lệ hoặc chứng chỉ đã hết hạn, hệ thống sẽ chặn không cho chạy, qua đó ngăn chặn mã độc xâm nhập ngay từ giai đoạn khởi động.
Bộ chứng chỉ gốc này được đưa vào sử dụng từ năm 2011 và theo kế hoạch sẽ kết thúc vòng đời 15 năm vào cuối tháng 6/2026. Để đảm bảo nền tảng bảo mật của hệ sinh thái PC toàn cầu không bị gián đoạn, Microsoft đã phối hợp cùng các hãng OEM như Dell, HP, Lenovo… triển khai dự án chuyển đổi quy mô lớn, liên quan tới firmware, hệ điều hành và phần cứng.
Về cách thức cập nhật, nhằm giảm thiểu ảnh hưởng tới người dùng, Microsoft đã tích hợp chứng chỉ mới vào các bản cập nhật Windows hàng tháng. Với người dùng Windows 11 và các phiên bản Windows còn trong thời gian hỗ trợ, nếu bật cập nhật tự động thì không cần thao tác thêm — hệ thống sẽ tự động hoàn tất quá trình thay thế chứng chỉ.
Dell, HP và nhiều hãng khác cũng cho biết phần lớn thiết bị xuất xưởng từ năm 2024 đã được cài sẵn chứng chỉ mới, còn các thiết bị bán ra trong năm 2025 thì đã hoàn toàn sẵn sàng.
Nếu thiết bị không được cập nhật trước thời điểm chứng chỉ hết hạn vào năm 2026, máy vẫn có thể khởi động và chạy phần mềm hiện có, nhưng sẽ rơi vào trạng thái “giảm cấp bảo mật”. Khi đó, hệ thống sẽ mất khả năng xác thực nghiêm ngặt bootloader, khiến thiết bị dễ bị tấn công bởi các loại mã độc cấp thấp như Rootkit.
Đáng lưu ý, bản cập nhật này chỉ áp dụng cho các phiên bản Windows còn trong vòng đời hỗ trợ chính thức. Điều đó đồng nghĩa với việc các thiết bị chạy Windows 10 (không phải bản ESU) hoặc các hệ điều hành cũ hơn sẽ không nhận được chứng chỉ mới. Microsoft khuyến nghị người dùng vẫn đang sử dụng hệ thống cũ nên sớm nâng cấp phần cứng hoặc hệ điều hành, tránh rơi vào tình trạng mất nền tảng tin cậy gốc và trở thành mục tiêu dễ bị tấn công trên mạng.
Thông tin tham khảo
Refreshing the root of trust: industry collaboration on Secure Boot certificate updates
Secure Boot is a foundational security feature of the Windows and Windows Server experience, providing protection from the moment a device powers on. Introduced in 2011, Secure Boot runs at startup – before Windows loads – and h
blogs.windows.com
