Chứng chỉ Secure Boot gốc của Windows sẽ hết hạn vào tháng 6 — đây là những việc bạn cần làm.

Windows 8 được nhớ đến nhiều nhất với menu Start toàn màn hình tập trung vào màn hình cảm ứng khá lạ lẫm , nhưng nó cũng giới thiệu một số cải tiến bên trong hệ thống Windows. Một trong số đó là UEFI Secure Boot, một cơ chế để xác minh bộ nạp khởi động của PC nhằm đảm bảo rằng phần mềm chưa được xác minh không thể được tải khi khởi động. Secure Boot được bật nhưng về mặt kỹ thuật là tùy chọn đối với Windows 8 và Windows 10, nhưng nó đã trở thành yêu cầu hệ thống bắt buộc để cài đặt Windows bắt đầu từ Windows 11 vào năm 2021 .

Tính năng Khởi động An toàn (Secure Boot) đã dựa vào cùng một bộ chứng chỉ bảo mật để xác minh bộ nạp khởi động kể từ năm 2011, trong suốt chu kỳ phát triển của Windows 8. Nhưng những chứng chỉ ban đầu đó sẽ hết hạn vào tháng 6 và tháng 10 năm nay, điều mà Microsoft đang nhấn mạnh trong một bài đăng hôm nay.

Ngày hết hạn chứng chỉ này không phải là tin mới—Microsoft và hầu hết các nhà sản xuất PC lớn đã nói về điều này trong nhiều tháng hoặc nhiều năm, và công việc chuẩn bị cho hệ sinh thái Windows đã được tiến hành trong một thời gian. Và việc gia hạn chứng chỉ bảo mật là một việc thường xuyên mà hầu hết người dùng chỉ nhận thấy khi có sự cố xảy ra .

Tuy nhiên, nhược điểm là việc hết hạn chứng chỉ có thể gây ra sự cố cho các máy tính không tải xuống các bản vá trước thời hạn tháng 6 năm 2026. Mặc dù các máy tính này vẫn sẽ hoạt động, nhưng chứng chỉ hết hạn có thể ngăn Microsoft vá các lỗ hổng Secure Boot mới được phát hiện và cũng có thể khiến các máy tính đó không thể khởi động và cài đặt các phiên bản hệ điều hành mới hơn sử dụng chứng chỉ mới năm 2023.

“Nếu thiết bị không nhận được chứng chỉ Khởi động An toàn mới trước khi chứng chỉ năm 2011 hết hạn, máy tính sẽ tiếp tục hoạt động bình thường và phần mềm hiện có sẽ tiếp tục chạy,” Nuno Costa, quản lý chương trình tại bộ phận Dịch vụ và Phân phối Windows của Microsoft, viết .

“Tuy nhiên, thiết bị sẽ chuyển sang trạng thái bảo mật suy giảm, hạn chế khả năng nhận các biện pháp bảo vệ cấp độ khởi động trong tương lai. Khi các lỗ hổng bảo mật cấp độ khởi động mới được phát hiện, các hệ thống bị ảnh hưởng sẽ ngày càng dễ bị tấn công hơn vì chúng không còn khả năng cài đặt các biện pháp giảm thiểu rủi ro mới. Theo thời gian, điều này cũng có thể dẫn đến các vấn đề về khả năng tương thích, do các hệ điều hành, phần mềm nhúng, phần cứng hoặc phần mềm phụ thuộc vào Khởi động An toàn mới hơn có thể không tải được.”

Hãy đảm bảo bạn đã có các chứng chỉ mới.

Đối với hầu hết các hệ thống, bao gồm cả những hệ thống cũ hơn không còn được nhà sản xuất hỗ trợ tích cực, Microsoft dựa vào Windows Update để cung cấp các chứng chỉ được cập nhật. Đối với các máy tính đã được vá lỗi đầy đủ, hoạt động bình thường và chạy các phiên bản Windows được hỗ trợ với tính năng Khởi động An toàn (Secure Boot) được bật, quá trình chuyển đổi sẽ diễn ra liền mạch, và trên thực tế, bạn có thể đã sử dụng các chứng chỉ mới mà không hề hay biết.

Điều này có thể thực hiện được vì các hệ thống dựa trên UEFI có một lượng nhỏ NVRAM có thể được sử dụng để lưu trữ các biến giữa các lần khởi động; nói chung, các hệ điều hành Windows và Linux sử dụng LVFS để cập nhật firmware sẽ có thể cập nhật NVRAM của bất kỳ hệ thống nào với các chứng chỉ mới. Máy tính chỉ gặp sự cố khi triển khai các chứng chỉ mới nếu NVRAM bị đầy hoặc bị phân mảnh theo một cách nào đó, hoặc nếu nhà sản xuất máy tính đang cung cấp firmware bị lỗi không hỗ trợ loại cập nhật này.

Như đã được mô tả chi tiết trên trang hỗ trợ của Dell , cách dễ nhất để kiểm tra xem PC của bạn có chứng chỉ mới hay không là chạy lệnh PowerShell kiểm tra chứng chỉ được lưu trữ trong "cơ sở dữ liệu hoạt động", tức là chứng chỉ hiện đang được sử dụng để khởi động PC.

←Ảnh chụp màn hình từ một máy tính Windows 11 đã sử dụng chứng chỉ Secure Boot 2023 mới để khởi động (lệnh đầu tiên trả về “true”) nhưng chưa tích hợp chứng chỉ mới này vào firmware UEFI (lệnh thứ hai trả về “false”). Đây là hiện tượng bình thường đối với các máy tính cũ; đối với các máy tính mới hơn, hãy kiểm tra xem có bản cập nhật BIOS nào khả dụng hay không.

→ Nếu lệnh thứ hai trả về “true”, điều đó có nghĩa là các chứng chỉ mới cũng đã được tích hợp vào phần mềm BIOS của máy tính. Các hệ thống mới hơn sẽ có các bản cập nhật BIOS với các chứng chỉ mới này.