Chứng chỉ quan trọng của Windows 11 sắp hết hạn: Cách kiểm tra máy bạn có bị ảnh hưởng không

Các chứng chỉ bảo mật quan trọng của Windows 11 sẽ hết hạn vào năm 2026, và với một số hệ thống, người dùng cần chủ động kiểm tra và cập nhật để tránh rủi ro bảo mật cũng như lỗi cập nhật trong tương lai. Dưới đây là những điều bạn cần biết và các bước cần thực hiện.

Chuyện gì đang xảy ra?

Microsoft đã bắt đầu thay thế các chứng chỉ Secure Boot sắp hết hạn trên các hệ thống Windows 11 đủ điều kiện, cụ thể là các phiên bản 24H2 và 25H2. Theo Microsoft, phần lớn chứng chỉ Secure Boot hiện đang được sử dụng sẽ hết hạn vào tháng 6/2026.

Secure Boot là cơ chế bảo mật cốt lõi trong UEFI/BIOS, có nhiệm vụ ngăn phần mềm độc hại chạy ngay từ giai đoạn khởi động. Tính năng này hoạt động bằng cách đối chiếu chữ ký số của trình nạp khởi động (bootloader) với các khóa/chứng chỉ được lưu trong firmware.

Microsoft cảnh báo:

Nếu không được cập nhật, các thiết bị Windows bật Secure Boot có nguy cơ không nhận được bản vá bảo mật mới hoặc không tin cậy các bootloader mới, từ đó ảnh hưởng nghiêm trọng đến tính an toàn và khả năng bảo trì hệ thống.

Ai sẽ bị ảnh hưởng?

• Các thiết bị được sản xuất trước năm 2024 là nhóm có nguy cơ cao nhất

• Các PC Windows 11 có bật Secure Boot

• Các máy mới hơn thường đã được cài sẵn chứng chỉ Secure Boot mới

👉 Nếu máy không bật Secure Boot, bạn sẽ không bị ảnh hưởng.

Cách kiểm tra Secure Boot có đang bật hay không

1. Nhấn Win + R

2. Nhập

   msinfo32 và nhấn Enter

3. Trong cửa sổ System Information, kiểm tra mục Secure Boot State

   • Nếu hiển thị On → Secure Boot đang bật

   • Nếu là Off → không bị ảnh hưởng bởi vấn đề chứng chỉ này

Cách kiểm tra chứng chỉ Secure Boot đang dùng

1. Mở Windows PowerShell với quyền quản trị (Run as administrator)

2. Nhập lệnh sau và nhấn Enter:

    

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)

3. Kết quả lý tưởng: bạn thấy ít nhất một chứng chỉ có mốc năm 2023, ví dụ:

    

   MicrosoftUEFICertificateAuthority_2023.cer

Mẹo nhanh:
Bạn có thể lọc trực tiếp chứng chỉ cần tìm bằng lệnh:

Kết quả sẽ trả về True hoặc False.

Nếu chứng chỉ đã quá cũ thì sao?

Nếu chỉ thấy các chứng chỉ cũ hơn (trước 2023), khả năng cao hệ thống sẽ gặp lỗi từ tháng 6/2026 trở đi. Trong trường hợp này, bạn cần đảm bảo Windows nhận được chứng chỉ mới.

Bạn cũng có thể kiểm tra Registry:

1. Mở Registry Editor

2. Truy cập:

    

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

3. Khóa

   WindowsUEFICA2023Capable không được có giá trị 0

   • Nếu = 0 → chứng chỉ mới chưa khả dụng trên máy

Cách khắc phục

• Cài đầy đủ các bản Windows Quality Update mới nhất

• Đảm bảo máy được phép gửi dữ liệu chẩn đoán (diagnostic data) cho Microsoft

• Sau khi hệ thống gửi đủ “tín hiệu cập nhật thành công”, Microsoft sẽ triển khai chứng chỉ mới một cách an toàn và theo từng giai đoạn

Đối với doanh nghiệp và quản trị viên IT, Microsoft cũng cung cấp các phương án triển khai chứng chỉ Secure Boot thông qua registry key đặc biệt hoặc Windows Configuration System (WinCS).