Linux and Secure Boot certificate expiration
9 months ago
- #Linux
- #Secure Boot
- #UEFI
- 依赖微软安全启动密钥的Linux用户将在9月面临密钥过期问题,需进行系统更新或固件修改。
- 2023年已发布替换密钥,但许多系统可能尚未安装,可能需要厂商提供更新支持。
- Fedora开发者Mateus Rodrigues Costa指出该问题,并提到Windows 11更新已开始警告2026年起安全启动证书将陆续过期。
- 安全启动要求第一阶段的引导加载程序必须使用固件数据库中未过期的密钥签名,这会导致过期后新装Linux系统变得复杂。
- LVFS和fwupd工具对更新固件密钥至关重要,但老旧系统可能因缺乏厂商更新或固件存储空间不足而面临困难。
- 对于无法获得更新的系统,禁用安全启动可能是唯一选择,但这会使安全启动安装流程复杂化。
- 潜在问题包括:固件未强制执行过期日期、厂商更新失误、以及更新KEK和平台密钥这一尚无先例的流程。
- Linux发行版和用户可能需要经历一段波折的过渡期,部分系统即便密钥过期仍可能继续运行。