微軟解釋了Windows 11上安全啟動憑證將於2026年過期帶來的安全風險

• 2011 年推出的安全啟動證書將於 2026 年 6 月底到期。
• 計算機在過期後仍能正常啟動。
• 未更新憑證的裝置將進入安全降級狀態。
• 支援的 Windows 11 和 Windows 10 裝置可透過 Windows 更新自動接收更新。
• 不受支援的系統，包括 2025 年 10 月之後沒有 ESU 的 Windows 10，將不會收到新憑證。

微軟已確認，2011 年推出的原始安全啟動憑證的裝置將於 2026 年 6 月下旬開始過期，這將觸發一項重大安全性更新，幾乎會影響到所有現代電腦。

安全啟動是統一可擴展韌體介面 (UEFI) 韌體中提供的安全機制，它在作業系統載入之前啟動並運行。此功能的目的是驗證只有受信任的、經過數位簽署的程式碼才能在啟動期間執行，從而阻止啟動工具包和其他試圖在啟動期間入侵系統的底層威脅。過去 15 年來，這一過程一直依賴嵌入在設備韌體中的證書，但這些證書現在已接近其預期生命週期的終點。

你的電腦會在2026年停止運作嗎？

簡而言之，不會。即使原始憑證過期，電腦仍可正常啟動，Windows 11（或 10）仍可正常載入。應用程式不會突然失效，您也不會立即感受到任何中斷。

然而，未收到更新後的安全啟動憑證的系統將進入安全降級狀態。但這並不意味著電腦立即不安全，而僅僅意味著設備將無法再接受未來對安全啟動信任鏈的更新。

隨著時間的推移，新的啟動級漏洞不斷被發現，這些系統可能無法安裝新的緩解措施。機器雖然能夠繼續運行，但其啟動保護機制不再更新，而這種長期限制才是真正令人擔憂的問題。

微軟為何要替換安全啟動憑證？

安全證書並非永久有效。隨著安全標準的演進，加密金鑰和信任錨必須更新，以防止過時的憑證成為安全漏洞。 2011 年安全啟動憑證的過期是從一開始就規劃好的。

此次轉變意義重大之處在於其規模。安全啟動在韌體層面運行，而不僅限於作業系統本身。更新安全啟動需要 Windows 11（以及 Windows 10）服務團隊、裝置韌體團隊和硬體製造商之間進行協調，涉及全球數百萬種不同的裝置配置。

微軟稱這是整個 Windows 生態系統中規模最大的協同安全維護工作之一。

更新是如何進行的

這家軟體巨頭已經開始透過每月定期更新的方式，向包括 Windows 11 和 10 在內的受支援版本推出新的安全啟動憑證。對於大多數允許該公司管理更新的家庭用戶和企業用戶而言，更新應該會在背景自動進行。

在某些情況下，尤其是在較舊的硬體上，可能需要設備製造商提供韌體更新，才能成功應用新的憑證。微軟表示，他們已與主要電腦製造商（例如戴爾、惠普和聯想）密切合作，為設備過渡做好準備。

2024 年後生產的幾乎所有設備都已包含更新的證書，2025 年出貨的幾乎所有系統都已預先安裝了這些證書。

如果Windows版本不受支援怎麼辦？

執行不受支援作業系統版本的裝置將無法透過 Windows 更新接收新的安全啟動憑證。這包括 Windows 10，除非裝置已註冊擴充安全性更新，否則Windows 10 在 2025 年 10 月停止支援後將無法接收新的安全啟動憑證。

這些系統在2011年的憑證過期後仍可繼續運行，但它們接收未來啟動級安全改進的能力將永久受到限制。隨著平台的發展，這可能會逐漸增加其面臨新威脅以及與新韌體、硬體或Windows版本相容性問題的風險。

現在該怎麼做？

對大多數使用者而言，最安全的做法很簡單：確保Windows 11（以及 Windows 10）保持最新狀態，並透過造訪裝置製造商的支援頁面來確認裝置韌體是否為最新版本。微軟已表示，未來幾個月內，Windows 安全中心應用程式將提供更多證書更新狀態訊息，讓使用者更清楚地了解更新過程。

您始終可以按照這些說明手動檢查和更新安全啟動證書。

管理大量電腦的組織應該將此視為驗證和部署計劃練習，而不是簡單的「修補星期二」更新。