您知道你的 Windows 電腦正在用一個已經 15 年歷史的老安全憑證來保護開機程序,而這張憑證再過不到一個月就要到期了嗎?Microsoft 在 2011 年發布的第一代 Secure Boot 憑證將於 2026 年 6 月正式失效,如果用戶沒有透過 Windows Update 更新到新的「2023 Secure Boot 憑證」,雖然 Windows 仍可正常開機使用,但微軟將逐步停止推送關鍵的安全更新與惡意軟體黑名單,裝置的整體安全性將永久下降。
Secure Boot 憑證是什麼?為什麼會到期?
Secure Boot(安全開機)是 UEFI 韌體的一項安全功能,在電腦開機時只允許執行經過數位簽章驗證的信任軟體,防止 rootkit 或開機型惡意軟體在系統啟動前就被載入。這個機制從 Windows 8 時代就開始採用,而負責驗證的 Microsoft Secure Boot 根憑證(CA)是在 2011 年首次發行,至今已經使用了 15 年。
憑證設有有效期限是密碼學的基本安全原則,即使是最頂層的根憑證也有到期日。2011 年版 Secure Boot 憑證即將在 2026 年 6 月到達有效期限。Microsoft 早在 2023 年就已經發行了新的「2023 Secure Boot 憑證」(2023 Secure Boot Certificate),並透過 Windows Update 陸續推送給所有 Windows 10 與 Windows 11 用戶。
對一般用戶來說,只要有正常執行 Windows Update,系統就會自動接收並安裝新的 Secure Boot 憑證,不需要手動操作。
不更新會怎樣?Microsoft 給出明確答案
針對許多用戶關心的「如果不處理會發生什麼事」,Microsoft 在 2026 年 5 月給出了明確的說法:
- Windows 仍可正常開機與使用 : 舊憑證到期不會導致電腦無法啟動或系統崩潰
- 安全性永久下降 : Microsoft 將停止推送依賴 Secure Boot 簽章驗證的關鍵開機更新與惡意軟體黑名單,裝置將無法防禦針對開機過程的新型攻擊
- 未來的 Windows 升級可能被擋 :「將來的 OS 升級將會檢查 2023 Secure Boot 憑證是否存在」,如果裝置缺少新憑證,將無法升級到下一個主要版本
- 第三方軟體信任問題 : 使用新憑證簽署的第三方開機軟體與驅動程式將無法在舊系統上被正確驗證信任
簡單來說,不理會這項更新,短期內不會造成立即災難,但你的電腦對開機層級的安全威脅的防護力會逐漸歸零,而且未來想升級 Windows 時可能會碰壁。
如何檢查你的電腦是否已經更新?
開啟 Windows 安全性(Windows Security)應用程式 → 點擊「裝置安全性」(Device security)→ 在「安全開機」(Secure Boot)區域中,應該會看到憑證狀態顯示。如果你的 Windows 已經安裝了 2026 年 4 月以後的累積更新,系統應該已經自動取得新的 2023 憑證。
如果沒有,請確認你的 Secure Boot 在 UEFI/BIOS 設定中是啟用狀態,然後執行 Windows Update 檢查更新。Microsoft 在 2026 年 4 月開始透過 Windows Update 推送這項更新,並從 5 月開始在 Windows 安全性中心中顯示憑證到期提醒。
對於企業 IT 管理員,Microsoft 也發布了詳細的 Secure Boot Playbook,說明如何透過 Intune、Group Policy 或 SCCM 來大規模部署和管理這項憑證更新。
特殊情況:Secure Boot 被關閉怎麼辦?
如果你的 Secure Boot 處於關閉狀態(例如為了安裝 Linux 雙系統或使用特定硬體),情況會稍微複雜。Microsoft 表示,系統在更新時會檢查 Secure Boot 是否啟用,以避免不必要的更新導致裝置無法開機。
部分主機板韌體即使 Secure Boot 關閉也能更新憑證,但最保險的做法是:在 BIOS/UEFI 設定中暫時開啟 Secure Boot 後執行 Windows Update 完成憑證更新,再視需求關閉。這樣可以確保新憑證被正確安裝到 UEFI 韌體中。
需要特別注意的是,部分較舊的硬體(尤其是 2011 到 2013 年間的機種)可能因為韌體限制而無法安裝新憑證。這類裝置將無法繼續接收 Secure Boot 相關的安全性更新,建議使用者評估升級硬體。
這次更新也關乎後量子密碼學的未來
2023 Secure Boot 憑證的有效期設定到 2038 年,看似還有 12 年的壽命。但 Microsoft 特別指出,這個期限「並非最終答案」,因為密碼學產業正在經歷一場更大的變革:後量子密碼學(Post-Quantum Cryptography, PQC)的遷移。
現有的 RSA 與橢圓曲線密碼(ECC)在強大的量子電腦面前將不堪一擊。Microsoft 預測,「2030 年代製造的硬體將搭載完全全新的後量子密碼憑證出廠」。這意味著 Secure Boot 在 2030 年代還將迎來一次更根本性的架構升級,屆時將從加密演算法層級全面轉向量子安全。
事實上,Windows 11 已經開始導入抗量子密碼技術,BitLocker、核心簽章等元件已經逐步採用後量子演算法。這次的 2023 憑證更新可以視為在全面量子化之前的一次中程過渡。Microsoft 也已經在其量子安全時間表中明確列出了未來幾年的密碼學遷移路線圖,包括核心作業系統元件、雲端服務和硬體層面的全面改革。
結語
2026 年 6 月的 Secure Boot 憑證到期,不是一個會讓電腦瞬間報銷的危機,而是一個需要用戶和 IT 管理員在期限前完成更新的「安全衛生檢查」。只要你的 Windows 有正常更新,大概已經解決了。但如果你的電腦因為特殊設定而錯過了這項更新,現在正是打開 Windows Update 確認一下的時候。
總而言之,這一次的憑證更新不僅關乎當下的開機安全,也連接到 Microsoft 在後量子密碼時代的長遠布局。從這個角度看,更新 Secure Boot 憑證不只是「修漏洞」,更是為接下來的密碼學世代交替做好準備。台灣有大量 Windows 用戶與企業,特別是有部署大量 Windows 裝置的 IT 環境,應該在 6 月到期前完成全網的憑證更新盤點與檢查。