ไมโครซอฟต์จะเปลี่ยนใบรับรอง Secure Boot ที่กำลังจะหมดอายุใน Windows 11 – รายละเอียดทั้งหมดและวิธีการอัปเดตของคุณ

  • Secure Boot ป้องกันมัลแวร์ระดับต่ำไม่ให้เข้ามาแทรกแซงกระบวนการเริ่มต้นระบบของ Windows 11
  • ใบรับรอง Secure Boot รุ่นดั้งเดิมของ Microsoft ที่ออกในปี 2011 จะหมดอายุในเดือนมิถุนายน 2026 และใบรับรองรุ่นใหม่ที่ออกในปี 2023 จะขยายระยะเวลาการป้องกันไปจนถึงปี 2053
  • อุปกรณ์ที่ซื้อในปี 2024 และหลังจากนั้น น่าจะมีใบรับรองเวอร์ชันล่าสุดแล้ว ส่วนอุปกรณ์อื่นๆ จะทยอยได้รับใบรับรองผ่าน Windows Update
  • คุณสามารถตรวจสอบสถานะใบรับรองของคุณได้โดยใช้ PowerShell และอัปเดตใบรับรองด้วยตนเองโดยใช้การปรับแต่งรีจิสทรีและงานที่กำหนดเวลาไว้ หากการอัปเดตยังไม่มาโดยอัตโนมัติ

ใบรับรองสำหรับโมดูล Secure Boot ของพีซีของคุณจะหมดอายุในเดือนมิถุนายน 2026 เริ่มตั้งแต่การอัปเดตความปลอดภัยเดือนมกราคม 2026 เป็นต้นไป ไมโครซอฟต์ได้เริ่มทยอยปล่อยใบรับรองใหม่ที่จะช่วยให้คอมพิวเตอร์ของคุณบูตได้อย่างถูกต้องและรับการอัปเดตความปลอดภัยต่อไปได้

ในWindows 11นั้น Secure Boot เป็นคุณสมบัติด้านความปลอดภัยที่มีอยู่ในเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) ซึ่งป้องกันการแก้ไขไฟล์ระบบที่สำคัญโดยไม่ได้รับอนุญาตในระหว่างการเริ่มต้นระบบ ส่งผลให้มั่นใจได้ว่าอุปกรณ์จะบูตโดยใช้ซอฟต์แวร์ที่ผู้ผลิตไว้วางใจเท่านั้น

กล่าวอีกนัยหนึ่งSecure Bootช่วยปกป้องอุปกรณ์ของคุณจากมัลแวร์ระดับต่ำ (เช่น บูทคิตและรูทคิต) ที่สามารถแทรกซึมเข้าสู่กระบวนการบูตและควบคุมคอมพิวเตอร์ของคุณได้ก่อนที่ระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสจะโหลดเสร็จสมบูรณ์

 

ทำความเข้าใจเกี่ยวกับใบรับรอง Secure Boot

ในขั้นตอนการทำงานนี้ ฟีเจอร์ดังกล่าวใช้คีย์เข้ารหัสลับ (หรือที่เรียกว่าหน่วยงานออกใบรับรอง (CA)) เพื่อตรวจสอบว่าโมดูลเฟิร์มแวร์มาจากแหล่งที่เชื่อถือได้ ซึ่งจะช่วยป้องกันมัลแวร์จากการทำงานในช่วงเริ่มต้นของการเริ่มต้นอุปกรณ์

ใบรับรอง Secure Boot มีวันหมดอายุเสมอ เนื่องจากช่วยให้มั่นใจได้ว่าคอมพิวเตอร์ของคุณจะยังคงได้รับการอัปเดตด้านความปลอดภัยและบูตเครื่องได้อย่างถูกต้อง นั่นเป็นเหตุผลที่คุณต้องติดตั้งใบรับรองปี 2023 ก่อนที่ใบรับรอง CA ปี 2011 จะเริ่มหมดอายุในเดือนมิถุนายน ปี 2026

หากคุณมีอุปกรณ์ที่ซื้อในปี 2024 (หรือหลังจากนั้น) มีโอกาสสูงที่ใบรับรองเวอร์ชันล่าสุดจะได้รับการติดตั้งแล้วอย่างไรก็ตาม สำหรับคอมพิวเตอร์เครื่องอื่นๆ ไมโครซอฟต์กำลังทยอยติดตั้งใบรับรอง Secure Boot เวอร์ชันใหม่ผ่าน Windows Update

ในการอัปเดตความปลอดภัย “2026-01 (KB5074109) (26200.7623)”ที่เผยแพร่เมื่อวันที่ 13 มกราคม 2026 บริษัทซอฟต์แวร์ยักษ์ใหญ่ได้ระบุว่า การอัปเดตในครั้งนี้ได้รวมข้อมูลการกำหนดเป้าหมายอุปกรณ์ที่มีความน่าเชื่อถือสูงไว้ด้วย ซึ่งระบุอุปกรณ์ที่มีสิทธิ์ได้รับใบรับรอง Secure Boot ใหม่โดยอัตโนมัติ อุปกรณ์จะได้รับใบรับรองใหม่ก็ต่อเมื่อแสดงสัญญาณการอัปเดตที่ประสบความสำเร็จเพียงพอแล้วเท่านั้น เพื่อให้มั่นใจได้ถึงการใช้งานที่ปลอดภัยและเป็นขั้นตอน

นั่นหมายความว่าคุณไม่จำเป็นต้องดำเนินการใดๆ ด้วยตนเองเพื่ออัปเดต Secure Bootนอกจากการอนุญาตให้ระบบรับการอัปเดตต่อไป อย่างน้อยก็ตั้งแต่นี้ไปจนกว่าจะมีการอัปเดตความปลอดภัยในเดือนมิถุนายน 2026

ตรวจสอบวันหมดอายุของใบรับรอง Secure Boot

เนื่องจากคุณจะไม่ได้รับการแจ้งเตือนว่าคอมพิวเตอร์ของคุณมีใบรับรองเวอร์ชันล่าสุดแล้ว จึงเป็นสิ่งสำคัญที่จะต้องตรวจสอบว่าอุปกรณ์ของคุณยังต้องการการอัปเดตอยู่หรือไม่

Windows 11 ไม่มีคำสั่งในตัวสำหรับแสดงวันที่หมดอายุของเฟิร์มแวร์ในรูปแบบที่อ่านง่าย อย่างไรก็ตาม คุณสามารถตรวจสอบว่าคุณมีใบรับรองปี 2023 ที่ "อัปเดตแล้ว" (ซึ่งจะแทนที่ใบรับรองที่จะหมดอายุในปี 2026) หรือไม่ โดยทำตามขั้นตอนเหล่านี้:

เปิดPowerShell (ในโหมดผู้ดูแลระบบ) แล้วเรียกใช้คำสั่ง:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • ถูกต้อง:คุณมีใบรับรองใหม่แล้ว (มีอายุใช้งานจนถึงปี 2053)
  • ไม่ถูกต้อง:คุณน่าจะยังคงใช้ใบรับรองปี 2011 อยู่ (ซึ่งจะหมดอายุในปี 2026)

ไมโครซอฟต์จะเปลี่ยนใบรับรอง Secure Boot ที่กำลังจะหมดอายุใน Windows 11 – รายละเอียดทั้งหมดและวิธีการอัปเดตของคุณ

ตรวจสอบการหมดอายุของใบรับรอง Secure Boot ด้วย PowerShell / ภาพ: Mauro Huculak

ระบบ Secure Boot สมัยใหม่เกือบทั้งหมดใช้ใบรับรองของ Microsoft ปี 2011 ซึ่งมีวันหมดอายุ ดังต่อไปนี้ :

  • บริษัท ไมโครซอฟต์ คอร์ปอเรชั่น KEK CA 2011 (24 มิถุนายน 2026) 
  • Microsoft Corporation UEFI CA 2011 (27 มิถุนายน 2026)
  • Microsoft Option ROM UEFI CA 2011 (27 มิถุนายน 2026)
  • Microsoft Windows Production PCA 2011 (19 ตุลาคม 2026)

เพื่อเป็นข้อมูลอ้างอิง นี่คือหน้าที่ของใบรับรองแต่ละประเภท:

  • ใบรับรอง KEK:ตัวยึดความเชื่อถือที่อนุญาตให้ทำการอัปเดตฐานข้อมูลลายเซ็น Secure Boot (DB/DBX)
  • ใบรับรอง CA ของ UEFI:เชื่อถือลายเซ็นของบูตโหลดเดอร์และส่วนประกอบเฟิร์มแวร์ (รวมถึงแอปพลิเคชัน EFI ของบุคคลที่สาม)
  • Option ROM CA:เชื่อถือโมดูล Option ROM เฟิร์มแวร์
  • Microsoft Windows Production PCA 2011:ตรวจสอบให้แน่ใจว่าบูตโหลดเดอร์ของ Windows และไบนารีที่เกี่ยวข้องได้รับความไว้วางใจจากเฟิร์มแวร์ภายใต้ Secure Boot

อัปเดตใบรับรอง Secure Boot บน Windows 11

หากใบรับรองของคุณใกล้หมดอายุ Microsoft และผู้ผลิตคอมพิวเตอร์ของคุณ (OEM) จะทำการอัปเดตเฟิร์มแวร์หรือการอัปเดต “DBX” ผ่าน Windows Update หรือการอัปเดตระบบโดยอัตโนมัติเพื่อลงทะเบียนใบรับรอง CA ปี 2023 ใหม่ อย่างไรก็ตาม คุณสามารถอัปเดต Secure Boot ด้วยตนเองได้

คำเตือน:ก่อนดำเนินการต่อ โปรดตรวจสอบให้แน่ใจว่าคุณได้ บันทึก รหัสกู้คืน BitLockerไว้แล้ว และBIOS (UEFI) ของคุณ เป็นเวอร์ชันล่าสุด หากเฟิร์มแวร์ของคอมพิวเตอร์ของคุณไม่รองรับใบรับรองใหม่ คอมพิวเตอร์ของคุณอาจไม่สามารถบูตได้หลังจากการอัปเดต ขอแนะนำให้ สำรองข้อมูล คอมพิวเตอร์ของคุณทั้งหมด ก่อนดำเนินการต่อด้วย

เปิดPowerShell (ในโหมดผู้ดูแลระบบ) แล้วเรียกใช้คำสั่ง:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

คำสั่งนี้จะตั้งค่าคีย์รีจิสทรีที่สั่งให้ระบบปฏิบัติการติดตั้งใบรับรองที่จำเป็นทั้งหมด (รวมถึงตัวจัดการบูตที่ลงนามโดย PCA 2023)

ค่าดังกล่าว0x5944คือรหัส "การบรรเทาผลกระทบอย่างสมบูรณ์" ซึ่งจะช่วยให้สามารถอัปเดตใบรับรองที่เกี่ยวข้องทั้งหมดได้

Windows 11 มีฟังก์ชันในตัวที่ประมวลผลการเปลี่ยนแปลงใบรับรองเหล่านี้ และคุณสามารถเรียกใช้งานด้วยตนเองเพื่อหลีกเลี่ยงการรอ 12 ชั่วโมงโดยใช้คำสั่งต่อไปนี้:

เริ่มงานตามกำหนดเวลา -ชื่องาน "\Microsoft\Windows\PI\Secure-Boot-Update"

ไมโครซอฟต์จะเปลี่ยนใบรับรอง Secure Boot ที่กำลังจะหมดอายุใน Windows 11 – รายละเอียดทั้งหมดและวิธีการอัปเดตของคุณ

การอัปเดตใบรับรอง Secure Boot ด้วย PowerShell / ภาพ: Mauro Huculak

โดยปกติการอัปเดตจะต้องรีบูตเครื่องสองครั้งเพื่อให้การอัปเดตมีผลสมบูรณ์ หลังจากการรีบูตครั้งแรก ระบบจะอัปเดตตัวจัดการการบูต หลังจากการรีบูตครั้งที่สอง ระบบจะทำการลงทะเบียนใบรับรองในฐานข้อมูล UEFI ให้เสร็จสมบูรณ์

หลังจากรีบูตเครื่องแล้ว คุณสามารถตรวจสอบว่า “UEFI CA 2023” ปรากฏอยู่ในฐานข้อมูลของคุณหรือไม่ โดยเรียกใช้ คำสั่ง PowerShell นี้ (ในฐานะผู้ดูแลระบบ):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • ถูกต้อง:ระบบของคุณได้รับการรักษาความปลอดภัยด้วยใบรับรองใหม่เรียบร้อยแล้ว
  • เท็จ:หากยังคงเป็นเท็จหลังจากรีบูตหลายครั้ง เฟิร์มแวร์ของเมนบอร์ดอาจเก่าเกินไปที่จะยอมรับรูปแบบใบรับรองใหม่ ตรวจสอบเว็บไซต์ของผู้ผลิตเพื่อหาการอัปเดต BIOS ที่เกี่ยวข้องกับ “Secure Boot”

หาก BitLocker ทำงานอยู่ คุณอาจต้องปิดใช้งานการเข้ารหัสชั่วคราว ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) ก่อนที่เฟิร์มแวร์จะสามารถเขียนคีย์ใหม่ลงในอุปกรณ์ได้สำเร็จ

ฝากความเห็น

วิธีดาวน์โหลดไฟล์ ISO ของ Windows 11 เวอร์ชัน 24 ชั่วโมง

วิธีดาวน์โหลดไฟล์ ISO ของ Windows 11 เวอร์ชัน 24 ชั่วโมง

ในการดาวน์โหลดไฟล์ ISO ของ Windows 11 24H2 ให้เปิดหน้าเว็บของ Microsoft เลือกตัวเลือกรูปภาพ เลือกภาษา แล้วคลิก ดาวน์โหลด 64 บิต

วิธีหลีกเลี่ยงการจ่ายเงินสำหรับการอัปเดตหลังจากที่ Windows 10 หมดอายุการใช้งานในปี 2025

วิธีหลีกเลี่ยงการจ่ายเงินสำหรับการอัปเดตหลังจากที่ Windows 10 หมดอายุการใช้งานในปี 2025

เพื่อหลีกเลี่ยงค่าใช้จ่ายเพิ่มเติม 30 ดอลลาร์สำหรับอัปเดตความปลอดภัยในการใช้งาน Windows 10 ต่อไป ควรทำการอัปเกรดเป็น Windows 11 บนพีซีที่รองรับและไม่รองรับ

ไมโครซอฟต์กล่าวว่า บางสิ่งที่ยิ่งใหญ่ กำลังจะมาถึง Windows 11

ไมโครซอฟต์กล่าวว่า บางสิ่งที่ยิ่งใหญ่ กำลังจะมาถึง Windows 11

ไมโครซอฟต์เตรียมประกาศข่าวสำคัญเกี่ยวกับ Windows 11 ในวันพฤหัสบดีนี้ โดยบอกเป็นนัยว่าประสบการณ์การใช้งานด้วยเสียงร่วมกับปัญญาประดิษฐ์ (AI) กำลังจะมาถึงระบบปฏิบัติการนี้

วิธีสร้าง USB ที่สามารถบูต Windows 11 ได้สำหรับฮาร์ดแวร์ที่ไม่รองรับ

วิธีสร้าง USB ที่สามารถบูต Windows 11 ได้สำหรับฮาร์ดแวร์ที่ไม่รองรับ

ต้องการติดตั้ง Windows 11 บนฮาร์ดแวร์ที่ไม่รองรับใช่ไหม? เรียนรู้ขั้นตอนการสร้าง USB บูตได้ด้วย Rufus หรือ Ventoy เพื่อข้าม TPM, Secure Boot และข้อจำกัดต่างๆ

วิธีบังคับอัปเกรดจาก Windows 11 เวอร์ชัน 24H2 เป็น 25H2

วิธีบังคับอัปเกรดจาก Windows 11 เวอร์ชัน 24H2 เป็น 25H2

ในการอัปเกรดจาก Windows 10 24H2 เป็น 25H2 ให้ใช้ตัวเลือกดาวน์โหลดและติดตั้งใน Windows Update หรือติดตั้งการอัปเดต KB5054156 ด้วยตนเอง

Build 26300.7674 (KB5074170) สำหรับ Windows 11 เน้นการแก้ไขข้อบกพร่อง ไม่ใช่การเพิ่มฟีเจอร์ใหม่ (Dev)

Build 26300.7674 (KB5074170) สำหรับ Windows 11 เน้นการแก้ไขข้อบกพร่อง ไม่ใช่การเพิ่มฟีเจอร์ใหม่ (Dev)

(KB5074170) Windows 11 build 26300.7674 เริ่มปล่อยให้ผู้ใช้ Insider ใช้งานแล้ว โดยมีการแก้ไขปัญหาเกี่ยวกับ File Explorer, Start, Search, ปัญหาด้านกราฟิก และบั๊กที่ทราบแล้ว

วิธีเปิดใช้งาน BitLocker บน Windows 11

วิธีเปิดใช้งาน BitLocker บน Windows 11

ในการเปิดใช้งาน BitLocker บน Windows 11 ให้เปิดการตั้งค่าพื้นที่จัดเก็บข้อมูล การตั้งค่า BitLocker และเปิดใช้งานคุณสมบัตินี้ สำหรับไดรฟ์แบบถอดได้ ให้ใช้ BitLocker To Go

วิธีการค้นหารหัสกู้คืน BitLocker บน Windows 11

วิธีการค้นหารหัสกู้คืน BitLocker บน Windows 11

หากต้องการค้นหารหัสกู้คืน BitLocker ของพีซีของคุณบน Windows 11 (หรือ 10) ให้เข้าสู่ระบบบัญชี Microsoft ของคุณทางออนไลน์และยืนยันการกู้คืนในหน้าอุปกรณ์

วิธีสร้าง USB ที่สามารถบูต Windows 11 (หรือ 10) จาก macOS

วิธีสร้าง USB ที่สามารถบูต Windows 11 (หรือ 10) จาก macOS

การสร้าง USB สำหรับติดตั้ง Windows 11 (หรือ 10) จาก macOS นั้นค่อนข้างซับซ้อนกว่าที่คิด แต่ก็ไม่ใช่เรื่องที่เป็นไปไม่ได้ นี่คือวิธีการทำ

การสนับสนุน Microsoft Edge สำหรับ Windows 10 จะสิ้นสุดลงในเดือนตุลาคม 2028

การสนับสนุน Microsoft Edge สำหรับ Windows 10 จะสิ้นสุดลงในเดือนตุลาคม 2028

Microsoft Edge บน Windows 10 จะยังคงได้รับการอัปเดตต่อไปจนถึงอย่างน้อยเดือนตุลาคม 2028 ซึ่งเป็นเวลานานหลังจากที่ระบบปฏิบัติการดังกล่าวสิ้นสุดการสนับสนุนอย่างเป็นทางการในปี 2025