ไมโครซอฟต์จะเปลี่ยนใบรับรอง Secure Boot ที่กำลังจะหมดอายุใน Windows 11 – รายละเอียดทั้งหมดและวิธีการอัปเดตของคุณ

• Secure Boot ป้องกันมัลแวร์ระดับต่ำไม่ให้เข้ามาแทรกแซงกระบวนการเริ่มต้นระบบของ Windows 11
• ใบรับรอง Secure Boot รุ่นดั้งเดิมของ Microsoft ที่ออกในปี 2011 จะหมดอายุในเดือนมิถุนายน 2026 และใบรับรองรุ่นใหม่ที่ออกในปี 2023 จะขยายระยะเวลาการป้องกันไปจนถึงปี 2053
• อุปกรณ์ที่ซื้อในปี 2024 และหลังจากนั้น น่าจะมีใบรับรองเวอร์ชันล่าสุดแล้ว ส่วนอุปกรณ์อื่นๆ จะทยอยได้รับใบรับรองผ่าน Windows Update
• คุณสามารถตรวจสอบสถานะใบรับรองของคุณได้โดยใช้ PowerShell และอัปเดตใบรับรองด้วยตนเองโดยใช้การปรับแต่งรีจิสทรีและงานที่กำหนดเวลาไว้ หากการอัปเดตยังไม่มาโดยอัตโนมัติ

ใบรับรองสำหรับโมดูล Secure Boot ของพีซีของคุณจะหมดอายุในเดือนมิถุนายน 2026 เริ่มตั้งแต่การอัปเดตความปลอดภัยเดือนมกราคม 2026 เป็นต้นไป ไมโครซอฟต์ได้เริ่มทยอยปล่อยใบรับรองใหม่ที่จะช่วยให้คอมพิวเตอร์ของคุณบูตได้อย่างถูกต้องและรับการอัปเดตความปลอดภัยต่อไปได้

ในWindows 11นั้น Secure Boot เป็นคุณสมบัติด้านความปลอดภัยที่มีอยู่ในเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) ซึ่งป้องกันการแก้ไขไฟล์ระบบที่สำคัญโดยไม่ได้รับอนุญาตในระหว่างการเริ่มต้นระบบ ส่งผลให้มั่นใจได้ว่าอุปกรณ์จะบูตโดยใช้ซอฟต์แวร์ที่ผู้ผลิตไว้วางใจเท่านั้น

กล่าวอีกนัยหนึ่งSecure Bootช่วยปกป้องอุปกรณ์ของคุณจากมัลแวร์ระดับต่ำ (เช่น บูทคิตและรูทคิต) ที่สามารถแทรกซึมเข้าสู่กระบวนการบูตและควบคุมคอมพิวเตอร์ของคุณได้ก่อนที่ระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสจะโหลดเสร็จสมบูรณ์

ทำความเข้าใจเกี่ยวกับใบรับรอง Secure Boot

ในขั้นตอนการทำงานนี้ ฟีเจอร์ดังกล่าวใช้คีย์เข้ารหัสลับ (หรือที่เรียกว่าหน่วยงานออกใบรับรอง (CA)) เพื่อตรวจสอบว่าโมดูลเฟิร์มแวร์มาจากแหล่งที่เชื่อถือได้ ซึ่งจะช่วยป้องกันมัลแวร์จากการทำงานในช่วงเริ่มต้นของการเริ่มต้นอุปกรณ์

ใบรับรอง Secure Boot มีวันหมดอายุเสมอ เนื่องจากช่วยให้มั่นใจได้ว่าคอมพิวเตอร์ของคุณจะยังคงได้รับการอัปเดตด้านความปลอดภัยและบูตเครื่องได้อย่างถูกต้อง นั่นเป็นเหตุผลที่คุณต้องติดตั้งใบรับรองปี 2023 ก่อนที่ใบรับรอง CA ปี 2011 จะเริ่มหมดอายุในเดือนมิถุนายน ปี 2026

หากคุณมีอุปกรณ์ที่ซื้อในปี 2024 (หรือหลังจากนั้น) มีโอกาสสูงที่ใบรับรองเวอร์ชันล่าสุดจะได้รับการติดตั้งแล้วอย่างไรก็ตาม สำหรับคอมพิวเตอร์เครื่องอื่นๆ ไมโครซอฟต์กำลังทยอยติดตั้งใบรับรอง Secure Boot เวอร์ชันใหม่ผ่าน Windows Update

ในการอัปเดตความปลอดภัย “2026-01 (KB5074109) (26200.7623)”ที่เผยแพร่เมื่อวันที่ 13 มกราคม 2026 บริษัทซอฟต์แวร์ยักษ์ใหญ่ได้ระบุว่า การอัปเดตในครั้งนี้ได้รวมข้อมูลการกำหนดเป้าหมายอุปกรณ์ที่มีความน่าเชื่อถือสูงไว้ด้วย ซึ่งระบุอุปกรณ์ที่มีสิทธิ์ได้รับใบรับรอง Secure Boot ใหม่โดยอัตโนมัติ อุปกรณ์จะได้รับใบรับรองใหม่ก็ต่อเมื่อแสดงสัญญาณการอัปเดตที่ประสบความสำเร็จเพียงพอแล้วเท่านั้น เพื่อให้มั่นใจได้ถึงการใช้งานที่ปลอดภัยและเป็นขั้นตอน

นั่นหมายความว่าคุณไม่จำเป็นต้องดำเนินการใดๆ ด้วยตนเองเพื่ออัปเดต Secure Bootนอกจากการอนุญาตให้ระบบรับการอัปเดตต่อไป อย่างน้อยก็ตั้งแต่นี้ไปจนกว่าจะมีการอัปเดตความปลอดภัยในเดือนมิถุนายน 2026

ตรวจสอบวันหมดอายุของใบรับรอง Secure Boot

เนื่องจากคุณจะไม่ได้รับการแจ้งเตือนว่าคอมพิวเตอร์ของคุณมีใบรับรองเวอร์ชันล่าสุดแล้ว จึงเป็นสิ่งสำคัญที่จะต้องตรวจสอบว่าอุปกรณ์ของคุณยังต้องการการอัปเดตอยู่หรือไม่

Windows 11 ไม่มีคำสั่งในตัวสำหรับแสดงวันที่หมดอายุของเฟิร์มแวร์ในรูปแบบที่อ่านง่าย อย่างไรก็ตาม คุณสามารถตรวจสอบว่าคุณมีใบรับรองปี 2023 ที่ "อัปเดตแล้ว" (ซึ่งจะแทนที่ใบรับรองที่จะหมดอายุในปี 2026) หรือไม่ โดยทำตามขั้นตอนเหล่านี้:

เปิดPowerShell (ในโหมดผู้ดูแลระบบ) แล้วเรียกใช้คำสั่ง:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• ถูกต้อง:คุณมีใบรับรองใหม่แล้ว (มีอายุใช้งานจนถึงปี 2053)
• ไม่ถูกต้อง:คุณน่าจะยังคงใช้ใบรับรองปี 2011 อยู่ (ซึ่งจะหมดอายุในปี 2026)

ตรวจสอบการหมดอายุของใบรับรอง Secure Boot ด้วย PowerShell / ภาพ: Mauro Huculak

ระบบ Secure Boot สมัยใหม่เกือบทั้งหมดใช้ใบรับรองของ Microsoft ปี 2011 ซึ่งมีวันหมดอายุ ดังต่อไปนี้ :

• บริษัท ไมโครซอฟต์ คอร์ปอเรชั่น KEK CA 2011 (24 มิถุนายน 2026) 
• Microsoft Corporation UEFI CA 2011 (27 มิถุนายน 2026)
• Microsoft Option ROM UEFI CA 2011 (27 มิถุนายน 2026)
• Microsoft Windows Production PCA 2011 (19 ตุลาคม 2026)

เพื่อเป็นข้อมูลอ้างอิง นี่คือหน้าที่ของใบรับรองแต่ละประเภท:

• ใบรับรอง KEK:ตัวยึดความเชื่อถือที่อนุญาตให้ทำการอัปเดตฐานข้อมูลลายเซ็น Secure Boot (DB/DBX)
• ใบรับรอง CA ของ UEFI:เชื่อถือลายเซ็นของบูตโหลดเดอร์และส่วนประกอบเฟิร์มแวร์ (รวมถึงแอปพลิเคชัน EFI ของบุคคลที่สาม)
• Option ROM CA:เชื่อถือโมดูล Option ROM เฟิร์มแวร์
• Microsoft Windows Production PCA 2011:ตรวจสอบให้แน่ใจว่าบูตโหลดเดอร์ของ Windows และไบนารีที่เกี่ยวข้องได้รับความไว้วางใจจากเฟิร์มแวร์ภายใต้ Secure Boot

อัปเดตใบรับรอง Secure Boot บน Windows 11

หากใบรับรองของคุณใกล้หมดอายุ Microsoft และผู้ผลิตคอมพิวเตอร์ของคุณ (OEM) จะทำการอัปเดตเฟิร์มแวร์หรือการอัปเดต “DBX” ผ่าน Windows Update หรือการอัปเดตระบบโดยอัตโนมัติเพื่อลงทะเบียนใบรับรอง CA ปี 2023 ใหม่ อย่างไรก็ตาม คุณสามารถอัปเดต Secure Boot ด้วยตนเองได้

คำเตือน:ก่อนดำเนินการต่อ โปรดตรวจสอบให้แน่ใจว่าคุณได้ บันทึก รหัสกู้คืน BitLockerไว้แล้ว และBIOS (UEFI) ของคุณ เป็นเวอร์ชันล่าสุด หากเฟิร์มแวร์ของคอมพิวเตอร์ของคุณไม่รองรับใบรับรองใหม่ คอมพิวเตอร์ของคุณอาจไม่สามารถบูตได้หลังจากการอัปเดต ขอแนะนำให้ สำรองข้อมูล คอมพิวเตอร์ของคุณทั้งหมด ก่อนดำเนินการต่อด้วย

เปิดPowerShell (ในโหมดผู้ดูแลระบบ) แล้วเรียกใช้คำสั่ง:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

คำสั่งนี้จะตั้งค่าคีย์รีจิสทรีที่สั่งให้ระบบปฏิบัติการติดตั้งใบรับรองที่จำเป็นทั้งหมด (รวมถึงตัวจัดการบูตที่ลงนามโดย PCA 2023)

ค่าดังกล่าว0x5944คือรหัส "การบรรเทาผลกระทบอย่างสมบูรณ์" ซึ่งจะช่วยให้สามารถอัปเดตใบรับรองที่เกี่ยวข้องทั้งหมดได้

Windows 11 มีฟังก์ชันในตัวที่ประมวลผลการเปลี่ยนแปลงใบรับรองเหล่านี้ และคุณสามารถเรียกใช้งานด้วยตนเองเพื่อหลีกเลี่ยงการรอ 12 ชั่วโมงโดยใช้คำสั่งต่อไปนี้:

เริ่มงานตามกำหนดเวลา -ชื่องาน "\Microsoft\Windows\PI\Secure-Boot-Update"

การอัปเดตใบรับรอง Secure Boot ด้วย PowerShell / ภาพ: Mauro Huculak

โดยปกติการอัปเดตจะต้องรีบูตเครื่องสองครั้งเพื่อให้การอัปเดตมีผลสมบูรณ์ หลังจากการรีบูตครั้งแรก ระบบจะอัปเดตตัวจัดการการบูต หลังจากการรีบูตครั้งที่สอง ระบบจะทำการลงทะเบียนใบรับรองในฐานข้อมูล UEFI ให้เสร็จสมบูรณ์

หลังจากรีบูตเครื่องแล้ว คุณสามารถตรวจสอบว่า “UEFI CA 2023” ปรากฏอยู่ในฐานข้อมูลของคุณหรือไม่ โดยเรียกใช้ คำสั่ง PowerShell นี้ (ในฐานะผู้ดูแลระบบ):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• ถูกต้อง:ระบบของคุณได้รับการรักษาความปลอดภัยด้วยใบรับรองใหม่เรียบร้อยแล้ว
• เท็จ:หากยังคงเป็นเท็จหลังจากรีบูตหลายครั้ง เฟิร์มแวร์ของเมนบอร์ดอาจเก่าเกินไปที่จะยอมรับรูปแบบใบรับรองใหม่ ตรวจสอบเว็บไซต์ของผู้ผลิตเพื่อหาการอัปเดต BIOS ที่เกี่ยวข้องกับ “Secure Boot”

หาก BitLocker ทำงานอยู่ คุณอาจต้องปิดใช้งานการเข้ารหัสชั่วคราว ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) ก่อนที่เฟิร์มแวร์จะสามารถเขียนคีย์ใหม่ลงในอุปกรณ์ได้สำเร็จ