Истечение сертификатов Secure Boot в 2026 году: что нужно сделать пользователям Linux

Почему возникла проблема

История вопроса берет начало в конце 2000-х годов, когда производители ПК начали переход от классического BIOS к интерфейсу UEFI. Вместе с ним появился механизм Secure Boot, поддерживаемый Microsoft и предназначенный для защиты от загрузочных вредоносных программ и атак на уровне прошивки.

Большинство производителей компьютеров поставляли устройства с предустановленными ключами доверия Microsoft. Для того чтобы Linux-дистрибутивы могли загружаться на таких системах без отключения Secure Boot, был создан механизм shim — небольшой загрузчик, подписанный сертификатом Microsoft.

Эта схема использовалась более десяти лет и позволяла без проблем запускать Fedora, Ubuntu, Debian, openSUSE, RHEL и другие популярные дистрибутивы на большинстве компьютеров.

Однако сертификаты имеют ограниченный срок действия.

Какие сертификаты истекают в 2026 году

Основная причина нынешней ситуации связана с тем, что сертификаты Secure Boot, выпущенные Microsoft в 2011 году, приближаются к завершению срока действия. Несколько ключевых сертификатов прекратят поддержку в течение 2026 года, причем процесс пройдет в два этапа — в середине и в конце года.

Для подготовки к этому переходу Microsoft выпустила новые сертификаты еще в 2023 году и начала распространять их среди производителей оборудования. Обновления прошивок должны автоматически добавить новые ключи доверия, сохранив совместимость со старыми.

Что произойдет с существующими системами

Эксперты подчеркивают, что завершение срока действия сертификатов не приведет к мгновенному отказу компьютеров от загрузки.

Если система уже доверяет сертификатам Microsoft 2011 года, то установленный Linux продолжит запускаться и после наступления 2026 года. Существующие загрузчики и установленные дистрибутивы не перестанут работать автоматически.

Проблема касается будущих установок и обновлений.

На компьютерах, которые не получат новые ключи Secure Boot через обновление прошивки, могут возникнуть сложности с загрузкой новых версий дистрибутивов или свежих установочных образов.

Что рекомендуется сделать пользователям Linux

Обновить прошивку

Главная рекомендация — установить последние версии BIOS или UEFI до наступления 2026 года.

На большинстве современных Linux-систем для этого можно использовать утилиту fwupd:

fwupdmgr refresh
fwupdmgr get-updates
fwupdmgr update

Если оборудование поддерживается сервисом, система автоматически загрузит необходимые обновления прошивки и базы сертификатов Secure Boot.

На старых устройствах может потребоваться ручная установка обновлений с сайта производителя.

Проверить поддержку Secure Boot в дистрибутиве

Разработчики крупных дистрибутивов уже подготовились к переходу на новые сертификаты.

В частности, необходимые изменения реализованы в:

• Red Hat Enterprise Linux и Fedora;
• Ubuntu;
• openSUSE и SUSE;
• Debian.

Для проверки рекомендуется скачать актуальный ISO-образ используемого дистрибутива и попробовать загрузить его на компьютере с включенным Secure Boot и обновленной прошивкой.

Если загрузка проходит без ошибок, то комбинация ключей прошивки и механизма подписи дистрибутива работает корректно.

Почему не стоит отключать Secure Boot

В Linux-сообществе нередко советуют просто отключить Secure Boot при возникновении проблем. Однако специалисты считают такой подход нежелательным.

Хотя Secure Boot не является универсальной защитой, он помогает предотвращать запуск вредоносного кода на ранних этапах загрузки системы и остается важным элементом безопасности. Отключение функции снижает защиту от загрузочных программ-вымогателей, руткитов и других угроз, ориентированных на скрытое закрепление в системе.

Рекомендации для серверов

Владельцам серверной инфраструктуры советуют заранее подготовиться к переходу:

• провести инвентаризацию систем с включенным Secure Boot;
• определить актуальные версии прошивок и развернуть их на оборудовании;
• заранее тестировать новые версии дистрибутивов на стендовых серверах с активированным Secure Boot.

Что важно помнить

Истечение срока действия сертификатов Secure Boot в 2026 году не приведет к массовому отказу Linux-систем. Однако пользователям и администраторам необходимо заранее установить обновления прошивки и убедиться, что используемые дистрибутивы поддерживают новые сертификаты Microsoft.

При своевременной подготовке переход должен пройти без заметных изменений для большинства пользователей Linux.