Microsoft thúc giục người dùng Windows 11 nâng cấp chứng chỉ Secure Boot, phiên bản cũ sẽ hết hạn vào tháng tới
Microsoft đang tích cực thúc dục người dùng Windows 11 nâng cấp chứng chỉ Secure Boot, chuyển từ phiên bản 2011 sang 2023.
Microsoft xác nhận chứng chỉ cũ sẽ hết hạn vào tháng 6/2026. Trong buổi AMA diễn ra hồi tháng 3, công ty cho biết nếu người dùng không thực hiện cập nhật, máy tính phần lớn vẫn có thể khởi động bình thường, nhưng hệ thống sẽ không còn nhận được các bản cập nhật bảo mật quan trọng trong chuỗi khởi động. Theo thời gian, rủi ro bảo mật có thể ngày càng tăng.
Lưu ý, Secure Boot là cơ chế xác thực khởi động nằm trong firmware UEFI. Khi máy tính khởi động, hệ thống sẽ kiểm tra chữ ký số của bootloader, driver và các thành phần hệ thống, chỉ cho phép các phần mềm đáng tin cậy được chạy.
Cơ chế này hoạt động dựa trên nhiều lớp khóa và cơ sở dữ liệu chữ ký như KEK, DB và DBX. Microsoft hiện muốn ghi chứng chỉ mới năm 2023 vào hệ điều hành trước, sau đó cập nhật vào firmware UEFI của bo mạch chủ và dần chuyển hệ thống sang chuỗi chứng chỉ mới đáng tin cậy.
Thư mục Secure Boot trên ổ C của Windows 11
Microsoft cũng giải thích một số trường hợp mà người dùng quan tâm nhất:
Trạng thái chứng chỉ Secure Boot trên Windows 11
Đối với môi trường doanh nghiệp và máy chủ, quá trình triển khai sẽ phức tạp hơn. Microsoft cho biết:
Tham khảo
Microsoft xác nhận chứng chỉ cũ sẽ hết hạn vào tháng 6/2026. Trong buổi AMA diễn ra hồi tháng 3, công ty cho biết nếu người dùng không thực hiện cập nhật, máy tính phần lớn vẫn có thể khởi động bình thường, nhưng hệ thống sẽ không còn nhận được các bản cập nhật bảo mật quan trọng trong chuỗi khởi động. Theo thời gian, rủi ro bảo mật có thể ngày càng tăng.
Thư mục Secure Boot trên ổ C của Windows 11
Microsoft cũng giải thích một số trường hợp mà người dùng quan tâm nhất:
- Máy tính đời cũ: Nếu thiết bị chỉ hỗ trợ Legacy BIOS, hệ thống sẽ tự nhận diện là không hỗ trợ Secure Boot và bỏ qua cập nhật thay vì ép buộc cài đặt.
- Thiết bị sử dụng CSM: Nếu máy đang dùng Compatibility Support Module (CSM) để giả lập BIOS truyền thống nhưng phần cứng vẫn hỗ trợ UEFI và Secure Boot, quá trình cập nhật vẫn có thể diễn ra bình thường.
- Người dùng đã tắt Secure Boot: Đây là tình huống đặc biệt. Microsoft sẽ chủ động báo lỗi thay vì tiếp tục cập nhật, vì mỗi hãng bo mạch chủ xử lý việc ghi chứng chỉ khi Secure Boot bị vô hiệu hóa theo cách khác nhau. Việc cố cập nhật có thể khiến chuỗi khởi động gặp sự cố.
Trạng thái chứng chỉ Secure Boot trên Windows 11
Đối với môi trường doanh nghiệp và máy chủ, quá trình triển khai sẽ phức tạp hơn. Microsoft cho biết:
- Windows Server sẽ không tham gia cơ chế cập nhật CFR tự động như các thiết bị Windows 11 thông thường.
- Ngay cả Windows Server 2025 cũng sẽ không tự động đáp ứng yêu cầu chứng chỉ mới khi cài đặt mới hoặc nâng cấp từ Server 2022.
- Quản trị viên vẫn cần sử dụng các lệnh PowerShell chuyên dụng để triển khai thủ công.
Tham khảo
Secure boot
Provides guidance on what an OEM should do to enable Securely booting a device
learn-microsoft-com.translate.goog
