Các chứng chỉ Secure Boot cũ sẽ hết hạn vào tháng 6 và 10 năm 2026. Microsoft đã chia sẻ một lịch trình trên trang web chính thức của mình cho thấy các chứng chỉ nào đang hết hạn vào tháng 6 và 10 năm 2026. Các chứng chỉ mới cũng được cài đặt trên hệ thống người dùng thông qua Windows Updates. Một số hệ thống người dùng không nhận được bản cập nhật chứng chỉ Secure Boot. Điều này thường xảy ra với các máy tính cũ hơn. Trong bài viết này, chúng tôi sẽ thảo luận về các vấn đề mà bạn có thể gặp phải khi chứng chỉ Secure Boot hết hạn.
Các chứng chỉ Secure Boot
Chứng chỉ Secure Boot là các chứng chỉ bảo mật số được lưu trữ bên trong firmware UEFI của máy tính. Chứng chỉ này cần thiết để Secure Boot hoạt động đúng cách. Secure Boot là một tính năng bảo mật do ngành công nghiệp PC tạo ra để đảm bảo rằng máy tính chỉ khởi động với phần mềm đã được phê duyệt bởi nhà sản xuất thiết bị (OEM). Khi máy tính bật lên, firmware kiểm tra chữ ký số của tất cả phần mềm liên quan đến khởi động, bao gồm các trình điều khiển UEFI, ứng dụng khởi động và hệ điều hành. Nếu mọi thứ đều được xác minh là đáng tin cậy, hệ thống sẽ tiếp tục khởi động và tải hệ điều hành.
Các chứng chỉ Secure Boot của Microsoft được cấp năm 2011 sẽ hết hạn vào tháng 6 năm 2026. Một số trong số chúng sẽ hết hạn vào tháng 10 năm 2026. Sau khi các chứng chỉ Secure Boot hết hạn, Secure Boot sẽ không hoạt động đúng cách, khiến các thiết bị bị ảnh hưởng dễ trở thành mục tiêu của các mối đe dọa ở mức độ khởi động.
Khi chứng chỉ Secure Boot hết hạn thì thiết bị cũ sẽ không thể hoạt động được.
Nếu thiết bị của bạn đạt đến ngày hết hạn chứng chỉ Secure Boot và không nhận được các chứng chỉ mới, nó thường sẽ tiếp tục khởi động và hoạt động bình thường. Thiết bị vẫn sẽ tiếp tục nhận được các bản cập nhật Windows thông thường. Tuy nhiên, nó sẽ không thể nhận được các biện pháp bảo vệ mới cho quá trình khởi động sớm. Điều này bao gồm các bản cập nhật quan trọng cho các thành phần như Manager khởi động Windows, cơ sở dữ liệu Secure Boot và danh sách chứng chỉ bị hủy bỏ, cũng như các sửa lỗi bảo mật để vá các lỗ hổng mới được phát hiện trong chuỗi khởi động.
Khi các thiết bị cũ vẫn tiếp tục khởi động bình thường vào Windows, sự vắng mặt của các chứng chỉ Secure Boot mới nhất tạo ra một rủi ro an ninh nghiêm trọng. Khi mối đe dọa mạng liên tục tiến hóa, các thiết bị cũ chạy trên chứng chỉ Secure Boot đã hết hạn sẽ dần trở nên ít an toàn hơn. Điều này xảy ra vì các thiết bị đó không thể áp dụng các bản cập nhật bảo mật mới nhất ở mức khởi động. Điều này tạo điều kiện cho kẻ tấn công khai thác lỗ hổng trước khi hệ điều hành đầy đủ tải. Hơn nữa, các tính năng bảo mật trong Windows phụ thuộc vào Secure Boot cũng sẽ bị ảnh hưởng. Ví dụ như các tính năng bảo mật như tăng cường mã hóa BitLocker, toàn vẹn mã nguồn tại mức khởi động và các trình tải bộ đệm bên thứ ba có thể không hoạt động đúng nếu chúng yêu cầu chứng chỉ Secure Boot mới nhất.
Điều gì sẽ hoạt động và điều gì sẽ không?
Dưới đây là tóm tắt nhanh về những tính năng sẽ tiếp tục hoạt động và những tính năng sẽ không còn hoạt động nữa. Những tính năng sẽ tiếp tục hoạt động trên các hệ thống máy tính cũ bao gồm:
- Các thiết bị cũ có chứng chỉ Secure Boot đã hết hạn sẽ tiếp tục khởi động bình thường. Người dùng vẫn có thể khởi động vào Windows và sử dụng thiết bị như trước đây.
- Cập nhật Windows sẽ tiếp tục được cài đặt, ngoại trừ các bản cập nhật cần thiết cho các thành phần bảo mật liên quan đến khởi động. Điều này là do các bản cập nhật này yêu cầu chứng chỉ Secure Boot đã được cập nhật và không thể tiếp tục sử dụng chứng chỉ đã hết hạn.
- Mọi tính năng thường ngày của ứng dụng sẽ vẫn được sử dụng như thông thường. Tính năng mạng, duyệt web và hầu hết các tính năng của hệ điều hành cũng không thay đổi.
Các tính năng sau sẽ không còn hoạt động sau khi hết hạn chứng chỉ Secure Boot là:
- Quy tắc bảo mật Secure Boot và Windows Boot Manager sẽ không còn áp dụng cho các thiết bị cũ.
- Fix cho các lỗ hỏng bảo mật của môi trường khởi động sớm – chẳng hạn như biện pháp giảm thiểu vượt qua BitLocker hoặc từ chối Secure Boot sẽ không có sẵn.
- Một số thành phần bên thứ ba như trình điều khiển hoặc mô-đun firmware phụ thuộc vào Microsoft Secure Boot và có thể bị lỗi khi cập nhật nếu cần các bản ghi chứng chỉ mới hơn.
Các thiết bị cũ với chứng chỉ cũ có thể sẽ trở nên dễ bị tấn công hơn do các lỗ hổng mới được phát hiện sau khi chứng chỉ Secure Boot hết hạn. Điều này xảy ra vì các tính năng bảo mật dựa trên việc xác thực lại chứng chỉ Secure Boot sẽ không còn hoạt động đúng cách, khiến cho toàn bộ hệ thống mất an ninh ở mức khởi động.
Người dùng có máy tính cũ nên làm gì?
Nhiều thiết bị Windows cá nhân sẽ nhận được các chứng chỉ Secure Boot mới thông qua bản cập nhật Windows do Microsoft quản lý. Dưới đây là các yêu cầu cơ bản mà Microsoft tiết lộ để nhận được các chứng chỉ mới thông qua Windows Update:
Nếu bạn là người dùng Windows 10 và không thể đăng ký vào chương trình ESU, cách duy nhất để nhận được các chứng chỉ mới là nâng cấp thiết bị của mình lên Windows 11.
Trạng thái cập nhật chứng chỉ Secure Boot cũng được phản ánh trong Windows Security. Nếu thiết bị của bạn không nhận được chứng chỉ Secure Boot thông qua Cập Nhật Windows, hãy kiểm tra thông báo lỗi được hiển thị trong Windows Security. Các bước thực hiện như sau:
- Khởi động Windows Security
- Đi đến thẻ An ninh thiết bị
Đọc thông báo ở phần Secure Boot. Nếu thông báo cho biết “Secure Boot đã bật và tất cả các bản cập nhật chứng chỉ cần thiết đã được áp dụng. Không có thay đổi chứng chỉ nào khác cần thiết“, thiết bị của bạn đã cài đặt Chứng chỉ An Toàn mới nhất, bạn không cần phải lo lắng thêm. Ngoài ra, bạn sẽ thấy biểu tượng kiểm tra xanh lá cây ở phần Secure Boot trong Windows Security. Nếu Windows Security hiển thị biểu tượng cảnh báo vàng hoặc biểu tượng chéo đỏ, bạn cần thực hiện hành động.
Một biểu tượng báo động vàng ở Secure Boot trong Windows Security có nghĩa là các chứng chỉ chưa được cập nhật. Trong trường hợp này, hãy kiểm tra Event ID 1808 trong Event Viewer. Nếu Event ID này có sẵn trong Event Viewer, bạn cần phải cài đặt tất cả các bản cập nhật Windows một cách đều đặn để có thể cài đặt chứng chỉ tự động. Một biểu tượng đỏ cho biết điều gì đó cần sự chú ý ngay lập tức của bạn. Ví dụ, biểu tượng thập giác đỏ kèm theo thông báo “Secure Boot đã được bật, nhưng thiết bị này không còn nhận được các bản cập nhật bắt buộc cho trải nghiệm khởi động Windows“, cho thấy firmware hoặc phần cứng của thiết bị không hỗ trợ chứng chỉ mới nữa. Trong trường hợp này, bạn cần liên hệ với nhà sản xuất thiết bị.
Đây là quy tắc bắt buộc:
Đọc: Boot bảo mật đang bật, nhưng thiết bị của bạn đang sử dụng cấu hình tin tưởng khởi động cũ và nên được cập nhật.
Windows 11 vẫn hoạt động nếu bạn tắt Secure Boot.
Windows 11 vẫn hoạt động bình thường ngay cả khi bạn tắt chức năng Secure Boot. Hành động này không ngăn hệ thống khởi động vào Windows và bạn có thể tiếp tục sử dụng máy tính cho các tác vụ hàng ngày một cách bình thường. Tuy nhiên, việc tắt Secure Boot sẽ loại bỏ một lớp bảo mật quan trọng trong quá trình khởi động và khiến thiết bị dễ bị tấn công từ mức độ khởi động.
Trước khi hết hạn chứng chỉ Secure Boot của Windows, bạn cần thực hiện các bước sau:
Trước khi các chứng chỉ Secure Boot cũ hết hạn, bạn cần chuẩn bị thiết bị để nhận được các chứng chỉ mới thông qua Windows Update. Để làm điều này, thiết bị của bạn phải gửi dữ liệu chẩn đoán tùy chọn đến Microsoft và Secure Boot phải được bật. Nếu bạn đang sử dụng Windows 10, bạn phải đã đăng ký chương trình ESU.
Nguồn: Thewindowsclub