【安全圈】UEFI 安全启动证书 2026 年 6 月到期，微软已启动轮替更新|uefi|windows|微软|知名企业|蓝屏事件

关键词

UEFI

微软发布最新支持公告提醒，UEFI 安全启动所使用的数字证书将于 2026 年 6 月到期。目前微软已通过累积更新开始分批向受支持系统推送新的证书，在到期前完成轮替。

这批证书最早签发于 2011 年（Windows 8 时代），有效期 15 年。由于它用于验证启动链完整性，地位相当于系统级根信任。一旦证书失效却未完成更新，设备虽然不会立即“变砖”，但会带来一系列潜在影响。

证书到期后，如果系统未完成更新，设备仍可正常启动，但安全启动信任链可能不再完整。部分依赖 Secure Boot 的组件或软件可能无法正常加载，未来在安装新固件、驱动或升级操作系统时，也可能出现兼容性问题。从安全角度看，未轮替证书的设备将暴露在更高风险之下。

对于普通用户来说，处理方式很简单：保持系统处于正常更新状态即可。微软已从 2026 年 1 月起，优先向部分较新的 Windows 11 24H2/25H2 设备推送更新，后续会逐步覆盖 Windows 10、Windows 11 以及其他仍在支持周期内的产品。只要系统能正常接收更新，证书会自动完成替换，无需手动操作。

需要注意的是，如果设备长期关闭更新，或运行的是已经结束支持的 Windows 版本，则无法自动获取新证书。这类设备在 6 月后将面临安全与兼容性风险。

企业环境则需要更高关注。部分受控终端、隔离网络设备或策略限制更新的机器，可能无法自动轮替证书。在这种情况下，IT 管理员需要主动排查设备状态，并按照微软提供的指南或专用脚本进行手动更新，确保安全启动链持续有效。

整体来看，这次证书轮替并非紧急漏洞修复，但其重要程度不亚于一次高危安全补丁。它直接关系到系统启动信任体系的连续性。对个人用户来说，关键在于保持更新；对企业而言，则需要提前盘点资产，避免到期后出现集中性兼容或安全问题。