微软于 2011 年发布的旧版安全启动证书即将在本月到期,该证书长期以来是 PC 安全启动信任链的重要组成部分。此变化将对 Linux 生态系统产生潜在影响,因为大多数 Linux 发行版依赖微软签名的 Shim 引导加载器来获得 PC 固件的信任。
为了应对证书到期,各大 Linux 发行版需要将其 Shim 引导加载器的签名流程迁移至 2023 年的 UEFI CA 证书体系。与 Windows 用户体验几乎无感不同,Linux 用户可能会面临潜在的启动问题,尤其是在较老的 PC、双系统设备或使用无法识别新版微软证书的 Linux 安装镜像时。
尽管证书过期本身预计不会导致多数 Linux 发行版无法启动,主要风险在于迁移过程中新旧证书的兼容性。在此期间,建议普通用户及时更新到最新版本的 Linux 系统,并确保 Shim 和 UEFI 固件保持最新状态,同时避免手动修改安全启动密钥,以防出现意外的系统启动问题。
针对桌面操作系统,此类安全证书的兼容性直接关系到系统的启动安全与用户体验。本次微软证书的更新,尤其是在 Linux 端的适配,需要关注新旧证书在不同硬件和系统配置下的识别情况,以确保平稳过渡。