UEFI安全引导根证书更新

t0kenzero

kfunname 发表于 2024-6-7 17:10
那就等东窗事发
等到2026年，陆续出现问题了
解决方案就会更广泛地传播

不需要考虑这么多 微软在日后版本将会以补丁形式强制推送 当前处于评估模式。
现在的文中手动执行了更新，将新的PCA证书塞给DB(数据库密钥) 将老的PCA证书塞给DBX(禁止签名密钥)

注：在HP平台需要将Bios进行升级

znyx

谢谢楼主分享

ddxuchen

感谢楼主科普​​​

flflfl

要是以后微软直接推送一个更新解决这个问题就好了

午餐肉罐头

到了2026年后，会不会有人“趁机”更新硬件呢

visionbaby

那么那么win7好像.....怎么办

ambiel0606

如果是真的，那么巨硬肯定会以系统更新的形式推送，肯定不需要这么繁琐的操作。

不过还是谢谢LZ分享，喜欢折腾的玩家可以先试试.

YorkWaugh

https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
虽说现在可以吊销2011的证书，但是奉劝各位不要这么做。。。
主流的Windows PE和ISO镜像中启动器仍是2011证书签名的，如果吊销2011的证书会导致安全启动下无法进入这些PE和安装大版本更新（例如最近手痒痒更新24H2。。。）
如果真的之前吊销了2011的证书，可以根据上述文档Updating Windows install media部分对所需镜像手动更新启动文件。目前建议诸位还是不要手贱提前吊销2011证书。。。

YorkWaugh

Dizziness2929 发表于 2024-6-7 16:54
有没有可能我发在这就是希望大家都看到？

emmmm
请教一个问题，这个证书确实在2026年过期，不过在26年前用该证书签名的启动文件应该26年后还是可以正常启动的吧，如果没有吊销2011证书的话。。。