2026年6月27日、Microsoftのセキュアブート信頼チェーンを支える重要な証明書「Microsoft Corporation KEK CA 2011」が、ひっそりと有効期限を迎えます。これは新しい鍵が署名業務を引き継ぐ通常の証明書更新とは異なる問題です。
今回失効するのは鍵交換鍵(KEK)そのものであり、このKEKこそがWindows Updateによるセキュアブートの許可リスト(DB)および失効リスト(DBX)への変更を承認する役割を担っています。この承認経路が失われると、影響を受けるデバイスは通常どおり起動し続けるものの、新しい失効情報を受け取ることができなくなります。
今回の対象となるMicrosoftセキュアブート証明書は3つあり、2026年6月に2つ、2026年10月に1つがそれぞれ異なる役割を持ちながら期限を迎えます。
KEK変数に格納されているKEK CA 2011は、Windows Update経由で配信されるすべてのDBおよびDBX更新を承認するものであり、Microsoft Corporation KEK CA 2023に置き換えられます。
DB変数に格納されているUEFI CA 2011は、LinuxのshimやサードパーティのオプションROMに広く使われている署名鍵です。これはOSブートローダー向けの「Microsoft UEFI CA 2023」と、ハードウェアオプションROM向けの「Microsoft Option ROM UEFI CA 2023」に分割されます。
Windows Boot ManagerおよびOS起動前コンポーネントの署名に使われているWindows Production PCA 2011は、Windows UEFI CA 2023に置き換えられ、2026年10月に失効します。
エンタープライズの観点から見ると、これはUEFI暗号理論上の抽象的な問題ではなく、規模と可視性の両面における実務的なフリート管理問題です。
Microsoftの公式ガイダンスでも、セキュアブートを使用するすべてのサポート対象Windows 10・11システム、現行のWindows Serverバージョン、そしてセキュアブートが有効化された仮想マシン(VM)がこれらの証明書に依存していることが明記されています。
2023年証明書ファミリーを搭載して出荷されたデバイス(2025年以降にリリースされた新しいプラットフォームを含む)は例外となります。
Linuxも影響範囲に含まれます。最新のディストリビューションはMicrosoft UEFI CA 2011で署名されたshimに依存しており、Red Hatなどのベンダーはすでに移行向けの具体的なガイダンスを公開しています。
2011年のDBエントリが削除されているにもかかわらず、shimが2023年CAで再署名されていないシステムでは、セキュアブートによってOSの読み込みが拒否されます。
管理者はLinuxおよびデュアルブート環境が起動不能になる事態を防ぐため、OS・shim・ファームウェア/DBの更新を連携して進める必要があります。
仮想化スタックも問題をさらに複雑にしています。Hyper-V、VMware ESXi、KVM/QEMUとOVMF、そしてProxmoxはそれぞれ独自の仮想UEFIファームウェアとセキュアブート変数を管理しています。
ホストを更新してもゲストのDB・DBX・KEKには影響しません。セキュアブートが有効な各VMが、それぞれ独立した移行プロジェクトとなります。
Windows Updateを使用できないエアギャップ環境では、UEFI変数ストアを書き換えるために手動作業またはハイパーバイザー固有のツールが必要です。
Eclypsiumの調査によると、MicrosoftとRed Hatはいずれも、既存の2011年証明書を使用しているシステムは引き続き起動できると強調しています。
失われるのは「将来の保護」です。2011年鍵のままのデバイスは、新しいセキュアブートポリシーの変更や更新されたWindows Boot Manager、そして今後のブートレベル脆弱性に対応した新たなDBX失効情報を受け取ることができなくなります。
翻訳元: https://cyberpress.org/secure-boot-keys-expiring/
