Microsoftは、2011年に導入されたオリジナルのSecure Boot証明書が2026年6月と10月に期限切れになると警告しており、一部のPCがセキュリティ状態が低下する可能性がある。同社はサポート対象システム向けにWindows Update経由で更新を展開し、新しい証明書をインストールしてブートレベルの保護を維持する。Windows 11ユーザーおよび登録済みのWindows 10デバイスユーザーは、これらの更新を早めに確認すべきだ。
Secure Bootは、Windows 8で導入された機能で、PCのブートローダーを検証し、スタートアップ時に未検証のソフトウェアの読み込みを防ぐもので、2011年からの証明書に依存してきた。これらの証明書は2026年6月と10月に期限切れとなり、Windows Servicing and Delivery部門のプログラムマネージャーであるNuno Costa氏による最近のMicrosoftブログ投稿で強調された。新しい証明書がない場合、影響を受けるデバイスは既存のソフトウェアで正常に動作し続けるが、セキュリティ状態が低下する。これにより、新たに発見された脆弱性に対する将来のブートレベルの保護を受け取る能力が制限される。時間の経過とともに、そのようなシステムは2023年以降の更新された証明書に依存する新しいOS、ファームウェア、ハードウェア、またはSecure Boot依存のソフトウェアとの互換性問題に直面する可能性がある。「デバイスが2011年の証明書の期限切れ前に新しいSecure Boot証明書を受け取らなかった場合、PCは正常に機能し続け、既存のソフトウェアは引き続き実行される」とCosta氏は書いている。彼は、この更新が「現代のPCがスタートアップ時に依存する信頼の基盤の世代間更新」を表すと付け加えた。Microsoftはサポート対象バージョンであるWindows 11(バージョン24H2または25H2)およびExtended Security Updates(ESU)プログラムに登録されたWindows 10デバイス向けにWindows Update経由で新しい証明書を提供する。非サポートのWindowsバージョンには提供されない。更新プロセスは2026年3月から対象ユーザー向けに開始され、2024年の多くのシステムおよび2025年のほぼすべてのシステムですでにファームウェアに証明書が含まれている。PCに新しい証明書があるかを確認するには、管理者としてPowerShellコマンドを実行:([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')。「true」の結果は、アクティブなデータベースが更新された証明書を使用していることを示す。追加のステップには、Secure Bootの有効化確認、Dell、HP、Lenovo、AsusなどのOEMからのファームウェア更新確認、暗号化が有効な場合のBitLocker回復キーの準備が含まれる。古いPCの場合、BIOSでSecure BootキーをリセットするとNVRAMのスペースを解放できる。Microsoftは、この移行を現代のセキュリティ基準に適合させる業界標準の慣行と位置づけ、主要PCメーカーと協力して準備した。IT組織は昨年から通知されており、ホームユーザーはMicrosoftのサービスでサポートを求められる。
