微软故意！Win10用户注意：多个安全启动凭证将过期

在windows 10正式停止支持后，微软似乎又为仍在使用该系统的用户设置了一道新的技术门槛。2026年6月起，三张广泛用于Windows系统的核心安全凭证将陆续到期，届时所有依赖这些凭证的设备若未及时更新，将面临严重的安全与兼容性风险。

这三张即将过期的安全凭证分别是KEK CA 2011、UEFI CA 2011和Windows Production PCA 2011，均于2011年签发，有效期为15年。受影响的系统范围极广，包括Windows 10、Windows 11，以及Windows Server 2025、2022、2019、2016、2012和2012 R2的所有实体机与虚拟机。换言之，自2012年起发布的几乎所有Windows版本——包括长期服务频道（LTSC）版本——都将受到影响。唯一的例外是2025年推出的Copilot+ PC，其出厂时已预装更新后的安全凭证。

一旦这些旧凭证失效，系统的Secure Boot功能将无法正常运作，导致设备无法验证启动过程中的软件签名，从而失去安全保障。更严重的是，系统将无法安装2026年6月之后发布的新安全更新，也无法运行由新凭证签署的第三方驱动程序或软件，极大影响系统的稳定性和安全性。

令人困惑的是，微软其实早已准备好了替代方案。新的安全凭证早在2023年就已完成签发，并于2023年7月发布公告，提醒用户需进行更新。然而，直到2026年1月发布的Windows 10累积更新（KB5073724）中，才真正包含凭证更换内容。这一延迟给大量用户带来了不便。

尤其值得注意的是，对于非LTSC版本且未加入扩展安全更新（ESU）计划的Windows 10用户而言，即使手动下载了KB5073724更新包，安装程序也会强制要求完成ESU注册，否则无法执行更新。这意味着普通用户若未订阅付费的ESU服务，将无法自动获得必要的安全凭证升级，面临被“断更”的风险。

相比之下，Windows 11用户则要顺利得多。他们只需通过常规的Windows累积更新，即可自动接收并安装新的安全凭证，整个过程无需额外操作，能够平稳过渡至新证书体系。

综上所述，尽管微软已提前预警，但更新机制的设计仍让许多坚守旧系统的用户陷入被动。尤其是在Windows 10支持结束后，仍依赖该系统的组织和个人必须尽快评估自身状况，决定是否升级系统或加入ESU计划，以避免在2026年中期遭遇系统功能降级甚至安全失控的局面。