2011 年微软签发的 Windows 安全启动核心证书将在 2026 年分两批过期：第一批于 6 月失效，第二批将于 10 月到期。微软已通过 Windows 更新推送新版证书，但大量老旧 PC 存在更新失败、证书未替换问题。即便设备仍能正常开机，长期使用过期证书会丧失启动链安全补丁，极易遭受底层启动攻击。

一、什么是安全启动证书？

安全启动证书存储在电脑 UEFI 固件内，是安全启动机制正常运行的核心信任凭证。安全启动是 PC 行业通用硬件安全功能，核心作用是：设备开机时，固件自动校验 UEFI 驱动、引导程序、操作系统的数字签名，仅放行设备厂商认证的可信软件，拦截恶意引导程序、Rootkit 等底层病毒。

本次过期的是 2011 年微软签发的全套安全启动证书，整套体系支撑了近 15 年 Windows 设备启动校验。为替代旧证书，微软推出 2023 版全新证书，通过 Windows 更新下发至所有设备，完成信任链迁移。

二、证书过期后，老旧设备会出现哪些变化？

1. 不受影响、可正常使用的功能

即便证书过期且未安装新版证书，电脑依旧能够正常启动进入 Windows，日常软件、网络、浏览器、绝大多数系统功能无使用限制。

2. 普通系统补丁、应用更新均可照常安装，仅启动安全相关组件更新被拦截。

证书过期且无新版证书时，设备将永久失去启动层安全防护更新，核心损失包括：

1. 无法接收 Windows 启动管理器、安全启动数据库、证书吊销列表（DBX）关键安全更新；

2. 新发现的启动链漏洞修复、BitLocker 绕过风险缓解补丁无法部署；

3. 依赖新版证书校验的第三方固件、驱动组件无法完成安全更新；

4. BitLocker 加密强化、启动时代码完整性校验等依赖安全启动信任链的 Windows 安全特性异常。

随着网络攻击手段迭代，过期证书设备缺少底层漏洞修复通道，黑客可利用启动链漏洞在操作系统加载前植入恶意程序；同时整机底层安全防护持续弱化，勒索病毒、启动型木马入侵风险大幅上升。

三、自查设备安全启动证书更新状态（Windows 安全中心）

用户无需复杂工具，通过 Windows 安全中心即可一键查看证书状态，区分安全/警告/危险三种标识：

1. 打开「Windows 安全中心」，进入设备安全性标签；

2. 找到「安全启动」板块，查看提示文字与图标：

提示“安全启动已开启，所有所需证书更新已完成，无需变更”，设备已成功安装新版证书，无风险；

提示“安全启动已开启，但设备使用旧版启动信任配置，需更新”，证书未自动推送，需手动完整更新系统；可在事件查看器检索`事件ID 1808`定位更新异常；

提示“安全启动已开启，但设备无法获取 Windows 启动所需更新”，代表硬件/固件不兼容新版证书，需联系电脑厂商获取 BIOS/UEFI 固件升级包。

四、老旧电脑安装新版安全启动证书必备条件

想要自动接收系统推送的新版证书，设备需同时满足以下要求：

1. 主板 BIOS/UEFI 中安全启动功能保持开启；

2. 设备正常向微软发送诊断数据；

3. Windows 11 设备无额外限制；Windows 10 设备必须订阅 ESU 扩展安全更新服务；若无法开通 ESU，唯一解决办法是升级至 Windows 11。

五、常见疑问解答

Q1：关闭安全启动，Windows 11还能正常使用吗？

A：可以正常开机、完成日常办公娱乐，但安全启动是底层防护屏障，关闭后设备完全失去启动校验能力，极易遭受底层恶意程序攻击，不建议长期关闭。

Q2：证书过期会直接导致电脑无法开机吗？

A：不会。微软官方明确，无新版证书的设备依旧能正常启动 Windows，风险集中在长期缺少底层安全补丁，而非直接无法使用。

Q3：设备显示红色叉号，该如何处理？

A：红色标识代表本机固件不兼容 2023 版安全启动证书，Windows 更新无法完成推送，需前往品牌官网下载对应机型最新 UEFI/BIOS 固件更新，若厂商已停止该机型固件维护，则无法完成证书升级。