Microsoft cảnh báo: Chứng chỉ Secure Boot cũ của Windows sẽ hết hạn vào tháng 6/2026, IT Admin cần sớm hành động
Microsoft mới đây đã gửi thông báo đến các quản trị viên hệ thống (IT Admin), cảnh báo rằng một số chứng chỉ UEFI Secure Boot cũ – cụ thể là Microsoft KEK CA 2011 và UEFI CA 2011 – sẽ chính thức hết hạn vào tháng 6 năm 2026. Đây là các chứng chỉ được sử dụng từ thời Windows 8 nhằm đảm bảo chỉ phần mềm đã xác thực mới được phép chạy trong quá trình khởi động hệ thống.
Theo Microsoft, các chứng chỉ này sẽ được thay thế bởi bộ chứng chỉ mới phát hành năm 2023, gồm Microsoft KEK 2K CA 2023, Microsoft UEFI CA 2023 và Microsoft Option ROM UEFI CA 2023. Hệ thống không được cập nhật sẽ không thể nhận các bản vá bảo mật dành cho Boot Manager và thành phần Secure Boot sau thời điểm hết hạn, mặc dù máy vẫn có thể tiếp tục khởi động nếu không có thay đổi lớn.
Danh sách hệ điều hành bị ảnh hưởng bao gồm toàn bộ các phiên bản Windows 10, Windows 11, cũng như các bản Windows Server từ 2012 đến 2025. Cả thiết bị vật lý và máy ảo (VM) đều chịu tác động, ngoại trừ các hệ thống mới tích hợp Copilot+PC ra mắt từ 2025 – vốn đã dùng chứng chỉ Secure Boot mới mặc định.
Tuy nhiên, nguy cơ lớn hơn là:
🔴 Không thể nhận được cập nhật bảo mật liên quan đến Boot Manager và Secure Boot – đây là cửa ngõ cực kỳ quan trọng đối với an toàn hệ thống.
🔴 Các VM, máy chủ vật lý (Windows Server 2012/2016/2019/2022/2025) và PC chạy Windows 10/11 đều có thể bị ảnh hưởng nếu chưa cập nhật chứng chỉ.
Để hỗ trợ người dùng chuyển đổi, Microsoft đã phát hành một PowerShell script tên là Make2023BootableMedia.ps1 vào tháng 2/2025. Script này giúp người dùng tạo lại USB cài đặt hoặc file ISO Windows tương thích với chứng chỉ Secure Boot 2023, tránh tình trạng lỗi khi khởi động hoặc cài đặt hệ điều hành sau khi hệ thống cập nhật UEFI firmware.
Microsoft khuyến nghị IT Admin nên lên kế hoạch rà soát và cập nhật hệ thống ngay trong năm 2025, tránh tình trạng cập nhật sát hạn gây gián đoạn dịch vụ hoặc bỏ lỡ cập nhật bảo mật quan trọng. Với các thiết bị cũ, cần kiểm tra xem OEM (nhà sản xuất thiết bị) có cung cấp bản cập nhật BIOS/UEFI mới để hỗ trợ Secure Boot 2023 hay không.
Sự kiện này không phải là một “sự cố gây chết hệ thống”, nhưng lại tiềm ẩn rủi ro bảo mật rất nghiêm trọng nếu bỏ qua. Nếu bạn là người dùng cá nhân thì có thể chưa cần lo lắng quá sớm, nhưng với doanh nghiệp và tổ chức lớn – đây là một cảnh báo nghiêm túc để chuẩn bị cho sự chuyển đổi trước thời hạn giữa năm 2026.
Đây là một phần trong nỗ lực hiện đại hóa nền tảng bảo mật khởi động của Windows, nhưng cũng là trách nhiệm của người dùng cuối và IT Admin trong việc cập nhật kịp thời.
Danh sách hệ điều hành bị ảnh hưởng bao gồm toàn bộ các phiên bản Windows 10, Windows 11, cũng như các bản Windows Server từ 2012 đến 2025. Cả thiết bị vật lý và máy ảo (VM) đều chịu tác động, ngoại trừ các hệ thống mới tích hợp Copilot+PC ra mắt từ 2025 – vốn đã dùng chứng chỉ Secure Boot mới mặc định.
Hệ quả nếu không cập nhật
Khác với các tin đồn ban đầu, hệ thống vẫn có thể khởi động được sau khi chứng chỉ cũ hết hạn, miễn là không thay đổi cấu hình.Tuy nhiên, nguy cơ lớn hơn là:
🔴 Không thể nhận được cập nhật bảo mật liên quan đến Boot Manager và Secure Boot – đây là cửa ngõ cực kỳ quan trọng đối với an toàn hệ thống.
🔴 Các VM, máy chủ vật lý (Windows Server 2012/2016/2019/2022/2025) và PC chạy Windows 10/11 đều có thể bị ảnh hưởng nếu chưa cập nhật chứng chỉ.
Để hỗ trợ người dùng chuyển đổi, Microsoft đã phát hành một PowerShell script tên là Make2023BootableMedia.ps1 vào tháng 2/2025. Script này giúp người dùng tạo lại USB cài đặt hoặc file ISO Windows tương thích với chứng chỉ Secure Boot 2023, tránh tình trạng lỗi khi khởi động hoặc cài đặt hệ điều hành sau khi hệ thống cập nhật UEFI firmware.
Microsoft khuyến nghị IT Admin nên lên kế hoạch rà soát và cập nhật hệ thống ngay trong năm 2025, tránh tình trạng cập nhật sát hạn gây gián đoạn dịch vụ hoặc bỏ lỡ cập nhật bảo mật quan trọng. Với các thiết bị cũ, cần kiểm tra xem OEM (nhà sản xuất thiết bị) có cung cấp bản cập nhật BIOS/UEFI mới để hỗ trợ Secure Boot 2023 hay không.
Sự kiện này không phải là một “sự cố gây chết hệ thống”, nhưng lại tiềm ẩn rủi ro bảo mật rất nghiêm trọng nếu bỏ qua. Nếu bạn là người dùng cá nhân thì có thể chưa cần lo lắng quá sớm, nhưng với doanh nghiệp và tổ chức lớn – đây là một cảnh báo nghiêm túc để chuẩn bị cho sự chuyển đổi trước thời hạn giữa năm 2026.
Khuyến nghị từ vn-z.vn
- IT Admin nên kiểm tra và cập nhật hệ thống sớm trong năm 2025, đừng để nước đến chân mới nhảy.
- Với các hệ thống cũ, nên kiểm tra mức hỗ trợ của OEM và cập nhật firmware/BIOS nếu có thể.
- Lưu ý rằng, từ năm 2026, nếu chưa cập nhật chứng chỉ thì máy vẫn chạy được, nhưng sẽ không còn được bảo vệ trước các rủi ro về boot loader, rootkit, v.v.
Đây là một phần trong nỗ lực hiện đại hóa nền tảng bảo mật khởi động của Windows, nhưng cũng là trách nhiệm của người dùng cuối và IT Admin trong việc cập nhật kịp thời.
