Tình trạng hết hạn của các chứng chỉ Secure Boot gốc của Microsoft đang tạo ra những thách thức mới cho các hệ thống UEFI. Chứng chỉ Microsoft Corporation KEK CA 2011 đã hết hạn vào ngày 24 tháng 6 năm 2026, tiếp theo là Microsoft UEFI CA 2011 vào ngày 27 tháng 6 năm 2026. Chứng chỉ thứ ba, Microsoft Windows Production PCA 2011, sẽ hết hạn vào ngày 19 tháng 10 năm 2026. Các chứng chỉ này là nền tảng cho chuỗi tin cậy ở cấp độ firmware trên mọi máy tính UEFI kể từ kỷ nguyên Windows 8, ảnh hưởng đến hơn một tỷ thiết bị trên toàn cầu, bao gồm cả các hệ thống chạy Linux. Đây không phải là một bản vá lỗi định kỳ mà là một thay đổi cấu trúc vĩnh viễn đối với chuỗi tin cậy mật mã hoạt động mỗi khi thiết bị khởi động.
Tầm quan trọng của Secure Boot và các chứng chỉ hết hạn
Để hiểu rõ vấn đề, cần nắm vững hệ thống phân cấp khóa được lưu trữ trong firmware UEFI của Secure Boot. Bốn chứng chỉ neo giữ toàn bộ hệ thống phân cấp này hiện đang ở cuối vòng đời hoặc sắp hết hạn. Các chứng chỉ thay thế năm 2023 có hiệu lực đến năm 2038, cung cấp khoảng 15 năm sử dụng liên tục.
Phạm vi ảnh hưởng rộng lớn của các chứng chỉ Secure Boot
Quy mô ảnh hưởng là rất lớn. Mọi máy tính được sản xuất với bo mạch chủ dựa trên UEFI, bao gồm các phiên bản Windows 10, Windows 11, Windows Server 2012 đến 2025 và bất kỳ phần cứng nào được phát hành từ khoảng năm 2012, đều có khả năng nằm trong phạm vi ảnh hưởng. Số lượng thiết bị bị ảnh hưởng lên đến hơn một tỷ máy tính cá nhân. Các thiết bị được xuất xưởng từ năm 2025 trở đi, bao gồm cả Copilot+ PC, thường đi kèm với các chứng chỉ năm 2023 được cài đặt sẵn và không yêu cầu hành động.
Ảnh hưởng đến các bản phân phối Linux
Các bản phân phối Linux cũng bị ảnh hưởng tương tự. Gần như mọi bản phân phối Linux phổ biến như Ubuntu, Fedora, Debian, RHEL và các bản khác đều sử dụng Microsoft UEFI CA 2011 để ký bộ tải khởi động giai đoạn đầu (shim), cho phép các hệ thống này khởi động với Secure Boot được bật. Dự án Fedora đã xác nhận rằng sau khi khóa 2011 hết hạn, bất kỳ tệp shim mới nào sẽ chỉ được ký bằng khóa 2023. Điều này có nghĩa là các phương tiện cài đặt Linux dựa vào tệp shim mới được ký bằng khóa 2023 sẽ không khởi động được trên các máy có firmware chỉ chứa các chứng chỉ 2011 cũ. Đây là một tác động trực tiếp đến việc cài đặt bare-metal, triển khai máy chủ và các mẫu máy ảo trong môi trường doanh nghiệp.
Hậu quả của việc không cập nhật chứng chỉ
Các thiết bị không được nâng cấp sẽ tiếp tục khởi động và chạy phần mềm hiện có một cách bình thường. Tuy nhiên, chúng sẽ mất đi vĩnh viễn một khả năng quan trọng: khả năng cập nhật hệ điều hành trong tương lai và nhận các bản vá bảo mật mới. Về mặt thực tế, các thiết bị này tích lũy nợ bảo mật ngày càng tăng mà không có con đường khắc phục sạch sẽ. Các tác nhân đe dọa khai thác các loại mã độc bootkit hoạt động chính xác ở cấp độ firmware mà cơ chế thu hồi DBX của Secure Boot được thiết kế để chặn.
Quy trình khắc phục và cập nhật cho doanh nghiệp
Hướng dẫn chính thức của Microsoft và các thông báo từ OEM cho thấy việc khắc phục yêu cầu hai hành động tuần tự. Đối với môi trường doanh nghiệp, Microsoft Intune’s Settings Catalog và Windows Autopatch bao gồm một chính sách cập nhật chứng chỉ Secure Boot chuyên dụng và báo cáo trạng thái Secure Boot tích hợp. Quản trị viên Group Policy nên bật “Enable Secure Boot Certificate Deployment” trong Computer Configuration > Administrative Templates > Windows Components > Secure Boot sau khi triển khai các mẫu ADMX Windows 11 mới nhất.
Khắc phục cho hệ thống Linux
Đối với hệ thống Linux, quản trị viên phải cập nhật cả gói shim (thông qua apt full-upgrade, dnf upgrade hoặc tương đương) và áp dụng bản cập nhật firmware OEM để đăng ký chứng chỉ Microsoft UEFI CA 2023 vào firmware DB. Phiên bản fwupd 2.0.10 trở lên là cần thiết để dịch vụ cung cấp firmware của nhà cung cấp Linux (LVFS) hoạt động chính xác.
Xác minh trạng thái cập nhật Secure Boot
Trên Windows, điều hướng đến Windows Security > Device Security > Secure Boot. Biểu tượng màu xanh lá cây xác nhận “all certificates are applied” là chỉ báo cần thiết, không chỉ là dấu kiểm màu xanh lá cây. Ngoài ra, có thể kiểm tra khóa registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\UEFICA2023Status để tìm giá trị “updated”.
Xác minh trên Linux
Trên Linux, chạy lệnh sudo mokutil --sb-state để xác nhận trạng thái Secure Boot và sudo mokutil --db để kiểm tra các chứng chỉ đã đăng ký. Nếu kết quả chỉ hiển thị chứng chỉ Microsoft Corporation UEFI CA 2011, firmware của bạn cần được cập nhật ngay lập tức.
Các mốc thời gian quan trọng và nguồn tham khảo
Việc hết hạn chứng chỉ Windows Production PCA 2011 vào ngày 19 tháng 10 năm 2026 cung cấp một thời hạn thứ hai, nhưng các tổ chức phụ thuộc vào chứng chỉ KEK và UEFI CA đã bỏ lỡ thời hạn của họ kể từ hôm nay. Để có hướng dẫn đầy đủ, cổng thông tin chuyên dụng của Microsoft có sẵn tại support.microsoft.com. Việc chuẩn bị cho các cập nhật này là rất cần thiết để duy trì tính toàn vẹn và bảo mật của hệ thống, tránh các mối đe dọa mạng tiềm ẩn do hệ thống không được vá lỗi gây ra.
Từ khóa SEO: Secure Boot, chứng chỉ hết hạn, UEFI, Linux, Windows, cập nhật bản vá, tin tức bảo mật.
