قامت Microsoft مؤخرًا بتذكير المستخدمين بأن شهادة التشفير المستخدمة للتمهيد الآمن في نظام Windows البيئي على وشك الخضوع للترقية. ستنتهي صلاحية شهادة Secure Boot الأولية، والتي تم استخدامها لأكثر من 15 عامًا منذ إطلاق Windows 8، في يونيو 2026 ويجب استبدالها بشهادة جديدة للحفاظ على الأمان أثناء مرحلة بدء تشغيل النظام.
يعد Secure Boot ميزة أمان على مستوى البرامج الثابتة تم تقديمها كجزء من مواصفات UEFI. والغرض الأساسي منه هو منع تحميل تعليمات برمجية تمهيدية ضارة محتملة قبل بدء تشغيل نظام التشغيل. لذلك، يجب تحديث جذر الثقة (الشهادات والمفاتيح) بانتظام لتجنب أن تصبح بيانات الاعتماد القديمة نقطة ضعف في الهجمات بسبب تقادم التشفير. قال نونو كوستا، مدير برنامج قسم خدمات Windows والتسليم في Microsoft، في المدونة الرسمية إن سحب الشهادات القديمة وإدخال شهادات جديدة يعد ممارسة قياسية في الصناعة ويساعد النظام الأساسي دائمًا على الامتثال لتوقعات الأمان الحديثة.
أصدرت Microsoft بالفعل إصدارًا جديدًا من شهادة Secure Boot في عام 2023، لكن الشهادة الأصلية كانت مسؤولة عن التحقق من صحة عملية التمهيد منذ Windows 8. ويمكن للمستخدمين والمؤسسات الحصول على شهادات جديدة من خلال مجموعة متنوعة من القنوات الموثوقة، بما في ذلك تحديثات البرامج الثابتة UEFI الصادرة عن الشركات المصنعة للوحات الأم. وفي الوقت نفسه، ستقوم Microsoft أيضًا بدمج الشهادات الجديدة في التصحيحات الشهرية والتحديثات الأمنية، والتي سيتم توزيعها تلقائيًا من خلال Windows Update. يمكن لبيئات المؤسسات استخدام أدوات إدارة متنوعة لتخصيص عملية الدفع. تصف Microsoft تحديث الشهادة هذا بأنه أحد أكبر عمليات صيانة الأمان المنسقة في نظام Windows البيئي.
نظرًا لأن Secure Boot يعمل في طبقة البرامج الثابتة ويؤثر بشكل مباشر على كيفية تشغيل الكمبيوتر، فإن هذه الترقية تتطلب من Microsoft العمل بشكل وثيق مع الشركات المصنعة للأجهزة ومصنعي المعدات الأصلية والشركاء الآخرين لتحديث البرامج الثابتة لملايين أجهزة Windows لتجنب التفاعلات المتسلسلة مثل فشل التمهيد على نطاق واسع. يمكن للأجهزة التي لا تزال في دورة دعم Microsoft (بما في ذلك أجهزة Windows 11 وWindows 10 المشاركة في برنامج التحديث الأمني الموسع) الحصول على الشهادة الجديدة من خلال Windows Update، بينما لن تتمكن أجهزة الكمبيوتر القديمة من تثبيت هذا التحديث وستكون أقل أمانًا نسبيًا.
وأشار كوستا إلى أن الأجهزة التي لا تزال تعتمد على شهادة 2011 القديمة ستظل تعمل بشكل طبيعي على المدى القصير، ولكن سيتم اعتبارها في حالة أمنية "مخفضة"، وقد لا تتلقى هذه الأجهزة إمكانات حماية جديدة على مستوى البرامج الثابتة في المستقبل. مع اكتشاف ثغرات أمنية جديدة في طبقة التمهيد، إذا تعذر تثبيت تدابير التخفيف المقابلة، فسيستمر تعرض الأنظمة ذات الصلة للتوسع، وقد يتسبب في حدوث مشكلات في التوافق على المدى الطويل. على سبيل المثال، لن تتمكن أنظمة التشغيل أو البرامج الثابتة أو الأجهزة أو البرامج المحدثة التي تعتمد على Secure Boot من التحميل. قدمت الشركات المصنعة لأجهزة الكمبيوتر مثل Dell تعليمات للتحقق مما إذا كان النظام يدعم شهادة Secure Boot الجديدة لتسهيل على المستخدمين تأكيد حالة أجهزتهم.
بالنسبة لأجهزة الكمبيوتر التي لا تقوم بتمكين Secure Boot على الإطلاق، لن تتأثر العمليات اليومية بشكل مباشر بشكل عام. ومع ذلك، واجه Secure Boot العديد من الحوادث الأمنية الخطيرة منذ ولادته، بما في ذلك "PKfail"، الذي كشف عن تحديات التنفيذ والإدارة. ومع ذلك، أصبحت هذه الآلية بشكل متزايد متطلبًا إلزاميًا لبعض الألعاب عبر الإنترنت وألعاب MOBA، مما يعني أن المستخدمين الذين يستخدمون Linux أو أقدم ولكن لا يزال لديهم أجهزة ألعاب قوية بدرجة كافية قد يواجهون الاستبعاد أو عوائق أكبر أمام الدخول عند المشاركة في ألعاب الجيل الجديد هذه.