Microsoft đã chính thức khởi động kế hoạch thay thế quy mô lớn các chứng chỉ Secure Boot trên hệ điều hành Windows, đánh dấu một trong những thay đổi quan trọng nhất đối với nền tảng bảo mật khởi động máy tính kể từ khi công nghệ này được đưa vào sử dụng cách đây hơn một thập niên.
Theo thông tin từ Microsoft và các tài liệu kỹ thuật công bố gần đây, bộ chứng chỉ Secure Boot phát hành từ năm 2011 sẽ lần lượt hết hạn từ giữa năm 2026. Để tránh nguy cơ gián đoạn hoặc suy giảm mức độ bảo mật trên diện rộng, hãng đã bắt đầu triển khai chứng chỉ mới thông qua các bản cập nhật Windows định kỳ.
Secure Boot là cơ chế bảo mật hoạt động ngay từ giai đoạn đầu khi máy tính khởi động. Trước khi hệ điều hành được nạp, hệ thống sẽ kiểm tra chữ ký số của các thành phần quan trọng như bootloader hoặc firmware. Nếu phát hiện thành phần không hợp lệ hoặc chứng chỉ đã hết hiệu lực, quá trình khởi động có thể bị chặn nhằm ngăn chặn mã độc hoạt động ở cấp thấp, đặc biệt là các dạng rootkit vốn rất khó phát hiện bằng phần mềm bảo mật thông thường.
Microsoft cho biết quá trình thay thế chứng chỉ lần này được thực hiện với sự phối hợp của nhiều hãng sản xuất máy tính và phần cứng lớn trên thế giới. Việc chuyển đổi không chỉ liên quan đến hệ điều hành mà còn có thể bao gồm firmware của bo mạch chủ và các thành phần trong chuỗi khởi động tin cậy của thiết bị.
Để hạn chế ảnh hưởng đến người dùng, chứng chỉ mới đã được tích hợp vào các bản cập nhật bảo mật Windows phát hành hằng tháng. Với các thiết bị đang sử dụng Windows 11 hoặc những phiên bản Windows còn trong thời gian hỗ trợ, hệ thống sẽ tự động cài đặt khi bật cập nhật tự động và người dùng hầu như không cần thực hiện thao tác nào.
Nhiều nhà sản xuất máy tính cũng cho biết phần lớn thiết bị xuất xưởng từ năm 2024 đã được tích hợp sẵn chứng chỉ mới, trong khi các dòng máy phát hành gần đây đã hoàn toàn tương thích với hệ thống Secure Boot cập nhật.
Theo Microsoft, nếu thiết bị không được cập nhật trước khi chứng chỉ cũ hết hạn, máy tính vẫn có thể khởi động và tiếp tục hoạt động, nhưng sẽ rơi vào trạng thái bảo mật suy giảm. Khi đó, hệ thống không còn duy trì đầy đủ cơ chế xác thực nghiêm ngặt trong chuỗi khởi động, làm tăng nguy cơ bị tấn công từ các mã độc hoạt động ở tầng thấp.
Hãng cũng lưu ý rằng việc cập nhật chứng chỉ Secure Boot chỉ áp dụng cho các phiên bản Windows còn trong vòng đời hỗ trợ chính thức. Những hệ thống đã hết hỗ trợ hoặc không nhận bản cập nhật bảo mật định kỳ có thể không được bổ sung chứng chỉ mới, đồng nghĩa với việc mức độ bảo vệ sẽ giảm dần theo thời gian.
Giới chuyên gia nhận định việc thay thế chứng chỉ Secure Boot là bước đi cần thiết trong bối cảnh các cuộc tấn công nhằm vào firmware và chuỗi khởi động ngày càng gia tăng. Khi các lớp bảo mật ở cấp hệ điều hành và ứng dụng đã được tăng cường đáng kể, tin tặc có xu hướng tìm cách xâm nhập từ những tầng thấp hơn của hệ thống, nơi người dùng và phần mềm bảo mật khó phát hiện hơn.
Theo tài liệu kỹ thuật Microsoft công bố, việc thay thế chứng chỉ Secure Boot là cần thiết để duy trì chuỗi tin cậy khi máy tính khởi động. Secure Boot hoạt động dựa trên hệ thống khóa và chứng chỉ số để xác thực firmware, bootloader và các thành phần khởi động, bảo đảm chỉ phần mềm hợp lệ mới được phép chạy. Sau khoảng 15 năm sử dụng, các chứng chỉ phát hành từ năm 2011 sẽ bắt đầu hết hạn từ tháng 6/2026, buộc các thiết bị Windows phải được cập nhật chứng chỉ mới để duy trì khả năng bảo vệ.
Microsoft cho biết các hệ thống bị ảnh hưởng bao gồm cả máy tính vật lý và máy ảo chạy những phiên bản Windows còn trong thời gian hỗ trợ như Windows 10, Windows 11 và nhiều phiên bản Windows Server phát hành từ năm 2012 trở lại đây, kể cả các bản LTSC. Một số thiết bị mới như dòng Copilot+ PC phát hành gần đây không bị ảnh hưởng do đã sử dụng chuỗi chứng chỉ mới ngay từ đầu. Ngoài ra, các hệ điều hành bên thứ ba cũng có thể liên quan nếu sử dụng cơ chế Secure Boot chung, chẳng hạn một số hệ thống Linux cài song song với Windows.
Về mặt kỹ thuật, Secure Boot sử dụng cấu trúc phân cấp chứng chỉ gồm Platform Key (PK) ở cấp cao nhất, tiếp theo là cơ sở dữ liệu Key Enrollment Key (KEK), cùng hai danh sách chữ ký cho phép và bị thu hồi (DB và DBX). Cấu trúc nhiều lớp này giúp đảm bảo mọi thay đổi đối với chính sách khởi động đều phải được xác thực, từ đó duy trì môi trường khởi động an toàn.
Khi các chứng chỉ cũ hết hạn, hệ thống có thể không còn nhận được các bản vá bảo mật liên quan đến Windows Boot Manager và các thành phần Secure Boot. Điều này làm tăng nguy cơ bị tấn công bằng các loại mã độc cấp thấp như bootkit, vốn có khả năng hoạt động trước khi hệ điều hành và phần mềm diệt virus khởi chạy. Microsoft dẫn chứng những chiến dịch tấn công gần đây cho thấy con đường khởi động không được bảo vệ đã trở thành một hướng tấn công phổ biến hơn.
Nếu không được chuẩn bị trước, thiết bị có thể mất khả năng cài đặt các bản cập nhật bảo mật Secure Boot, không còn tin cậy phần mềm được ký bằng chứng chỉ mới, đồng thời có nguy cơ không nhận được các bản vá bảo mật cho thành phần khởi động từ cuối năm 2026. Vì vậy Microsoft khuyến nghị người dùng và các tổ chức cập nhật firmware từ nhà sản xuất phần cứng trước, sau đó cài đặt các bản cập nhật Windows mới nhất để hệ thống có thể nhận bộ chứng chỉ phát hành từ năm 2023 trở đi.
Hãng cũng cho biết giải pháp đơn giản nhất với người dùng cá nhân là duy trì Windows Update ở chế độ tự động để các bản cập nhật cần thiết được cài đặt theo chu kỳ. Với doanh nghiệp và hệ thống quản trị tập trung, việc kiểm tra firmware, theo dõi lộ trình phát hành chứng chỉ và triển khai cập nhật đồng bộ trên toàn bộ hệ thống được xem là bước chuẩn bị quan trọng nhằm tránh rủi ro bảo mật khi các chứng chỉ cũ chính thức hết hiệu lực.
Nội dung có sử dụng AI.