https://gigazine.net/news/20260526-microsoft-secure-boot-deadline/

2011年に発行された「Microsoftセキュアブート証明書」の有効期限が2026年6月に迫っています。期限が来ると何が起こるのか、ユーザーは何をすればいいのかについて、Microsoftが解説しました。

セキュアブートは、デバイスのブート(起動)時に信頼できるソフトウェアだけを実行するために使われるセキュリティ機能です。このソフトウェアを検証するのがセキュアブート証明書で、Microsoftは2011年に最初に発行されたセキュアブート証明書を更新して検証し続けられるようにしていました。ところが、この古い証明書は2026年6月に期限切れになります。

Microsoftは2023セキュアブート証明書という新しい証明書を発行していて、Windows Updateを通じて配信しています。通常の使い方であればWindows Updateを行うことで対応が完了します。Microsoftによると、アップデートによってWindows 11に新しいセキュアブートフォルダが現れたり、複数回の異常な再起動が発生したりする可能性があるそうですが、すべて通常の挙動で問題はないとのことです。

一方、セキュアブートを無効化しているなど特殊な使い方をしている場合、設定を変更しなければなりません。Microsoftによると、システムはアップデート時にセキュアブートが有効かどうかを確認し、不要なアップデートでデバイスを文鎮化させないようにしているとのことです。一部のマザーボードファームウェアはセキュアブートが無効化されていても証明書を更新できますが、基本的にはセキュアブートをオンにしておく必要があるそうです。

Windows Updateを無視してセキュアブート証明書を更新しなくてもWindowsは通常通り起動・動作しますが、Microsoftがブートに不可欠なアップデートとマルウェアブラックリストの配信を停止するため、セキュリティは恒久的に低下します。

また、Microsoftは「将来的にOSのアップグレードは2023セキュアブート証明書が有効かどうかを要求する」と伝えているため、もしデバイスに証明書が存在しない場合、次期アップグレードを受けられない可能性があります。

2023セキュアブート証明書は2038年に期限切れとなり、10年以上の寿命があります。しかし、強力な量子コンピューターが既存の暗号アルゴリズムを解いてしまう「ポスト量子暗号時代」の到来に備える業界の変化が迫っているため、この期限は完全ではないとMicrosoftは指摘。「2030年代に製造されるハードウェアは、完全に新しいポスト量子暗号証明書を搭載して出荷される」と付け加えました。