ไมโครซอฟท์ประกาศเตือน Secure Boot Certificate จะหมดอายุปี 2026 งานใหญ่ฝ่ายไอทีไม่ควรมองข้าม
ไมโครซอฟท์ได้ออกประกาศเตือนสำคัญเกี่ยวกับการอัปเดต Secure Boot Certificate ที่ฝังอยู่ในเฟิร์มแวร์ของเมนบอร์ดและ BIOS โดยใบรับรองชุดเก่าที่ใช้งานมาตั้งแต่ปี 2011 จะหมดอายุในช่วงกลางปี 2026 หากองค์กรหรือผู้ใช้ไม่ได้อัปเดตใบรับรองใหม่ จะส่งผลให้ระบบเสี่ยงมีปัญหาตอนบูทขึ้นมาได้ หรืออาจมีปัญหาตอนติดตั้งแพตช์ด้านความปลอดภัยในอนาคต
Secure Boot มีหน้าที่ตรวจสอบความถูกต้องของไฟล์ที่ถูกโหลดตั้งแต่เริ่มต้นเปิดเครื่อง เช่น Bootloader หรือ firmware โดยจะยอมให้รันได้เฉพาะไฟล์ที่มี “ใบรับรองดิจิทัล” ที่เชื่อถือได้ หากใบรับรองหมดอายุหรือไม่ตรงกับที่ระบบยอมรับ ระบบอาจบล็อกไม่ให้บูทหรือไม่ยอมโหลดไฟล์นั้น ซึ่งเป็นมาตรการป้องกันมัลแวร์ระดับล่าง เช่น rootkit หรือ bootkit ไม่ให้แอบแฝงเข้าระบบ
สำหรับการแก้ไขนั้น ผู้ใช้งานทั่วไปไม่สามารถเปลี่ยนใบรับรองเองได้โดยตรง จำเป็นต้องพึ่งการอัปเดต BIOS หรือ UEFI จากผู้ผลิตฮาร์ดแวร์ (OEM) ที่เป็นผู้ฝังใบรับรองชุดใหม่ให้ ซึ่งตอนนี้เริ่มมีการทยอยอัปเดตออกมาแล้วจากหลายค่าย
ตัวอย่างเช่น Lenovo ได้เริ่มปล่อย BIOS รุ่นใหม่ที่ฝังใบรับรอง Secure Boot 2023 สำหรับบางรุ่นของ ThinkPad และ ThinkCentre แล้ว ขณะที่ Dell ก็ทยอยปล่อยผ่านระบบ Dell Command | Update ส่วน HP และ Microsoft Surface เองก็เริ่มมีการอัปเดต firmware ผ่าน Windows Update โดยตรง
ทั้งนี้ องค์กรควรตรวจสอบ release note หรือบันทึกการเปลี่ยนแปลงของ BIOS แต่ละรุ่น เพื่อยืนยันว่ามีการอัปเดตใบรับรองใหม่หรือไม่ โดยคำที่ควรมองหา เช่น “KEK 2023”, “UEFI CA 2023”, หรือ “Secure Boot certificate update”
แม้จะยังไม่ส่งผลในทันที แต่เมื่อถึงเวลาหมดอายุในปี 2026 หากอุปกรณ์ยังคงใช้ใบรับรองชุดเก่าอยู่ ก็จะไม่สามารถตรวจสอบความถูกต้องของไฟล์ในขั้นตอน Secure Boot ได้อย่างสมบูรณ์ ซึ่งอาจทำให้ระบบบูทไม่ขึ้น หรือไม่สามารถติดตั้งแพตช์ความปลอดภัยที่เซ็นด้วยใบรับรองใหม่ได้อย่างถูกต้อง นั่นหมายถึงความเสี่ยงทางไซเบอร์ที่ขยับเข้าใกล้โดยไม่ทันตั้งตัว
สำหรับองค์กรที่มีอุปกรณ์จำนวนมาก งานนี้ถือว่าไม่เล็ก เพราะต้องสำรวจว่าอุปกรณ์รุ่นใดได้รับอัปเดต BIOS แล้วบ้าง รวมถึงต้องวางแผนทดสอบในสภาพแวดล้อมจำลองก่อนจะนำไปใช้งานจริงในระบบ production เพื่อป้องกันปัญหาบูตล้มเหลว หรือความไม่เข้ากันของซอฟต์แวร์เฉพาะด้าน โดยเฉพาะในกรณีที่ใช้ dual boot หรือระบบเก่าแบบ legacy ที่ยังต้องการใบรับรองเดิม
ไมโครซอฟท์ได้แนะนำให้ผู้ใช้งานและแอดมินระบบเริ่มดำเนินการตั้งแต่วันนี้ ไม่ว่าจะเป็นการทยอยอัปเดต BIOS/UEFI จาก OEM หรือการติดตั้ง Windows Update เวอร์ชันล่าสุดซึ่งรวมการปรับโครงสร้างใบรับรองบางส่วนไว้แล้ว เพราะเมื่อถึงช่วงหมดอายุจริงในปี 2026 การแก้ไขอาจไม่ใช่เรื่องง่ายหรือทันการณ์อีกต่อไป