Windows Secure Boot 憑證即將到期及更新方式
自從Windows支援Secure Boot以來,大多數Windows裝置在UEFI的Secure Boot資料庫中,都使用同一系列的Microsoft憑證。這批較早期的憑證將從2026年開始陸續到期。為了維持開機安全與信任鏈完整,系統需要更新為2023年版的Microsoft憑證。
如果您的系統目前已啟用Secure Boot,請讓這批憑證於2026年年中到期前完成更新。
Microsoft建議透過Windows update完成Secure Boot certificates更新:
當「Windows Update」為開啟狀態,且系統有啟用Secure Boot(請參考FAQ: 如何開啟Secure Boot)時,支援的Windows裝置會在合適的時間,自動下載並套用新版Secure Boot憑證與新的Boot Manager。
新版Secure Boot資料庫更新,已自2024年起分階段釋出給啟用Secure Boot的裝置,並會在2026年6月憑證到期前,自動完成裝置的更新。
如下圖所示開啟Windows Update以取得新的憑證。 
Q&A
問題一:如何查看UEFI Secure Boot Keys狀態?
回答:請參考如下步驟:
1. 在Windows系統搜索框中輸入PowerShell
在搜索結果中,點擊Windows PowerShell圖標,選擇以管理員身份運行(Run as Administrator)
2. 確認Key Exchange Key (KEK)包含 "Microsoft Corporation KEK 2K CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Micorsoft Corporation KEK 2K CA 2023'
出現 True 就是有包含 "Microsoft Corporation KEK 2K CA 2023"
3. 確認Signature Databases (DB)包含 "Windows UEFI CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
出現 True 就是有包含 "Windows UEFI CA 2023"
4. 確認Signature Databases (DB)包含 " Microsoft UEFI CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
出現 True 就是有包含 " Microsoft UEFI CA 2023"
問題二:如果我的裝置在舊憑證到期前沒有取得新的安全開機憑證,會發生什麼事?
回答:安全開機憑證過期後,尚未收到新 2023 年憑證的裝置仍能正常啟動並運作,標準 Windows 更新也會繼續安裝。 然而,這些裝置將無法在早期開機過程中獲得新的安全防護,包括更新 Windows 開機管理員、安全開機資料庫、撤銷清單,或針對新發現的開機層級漏洞的緩解措施。
隨著時間推移,這限制了裝置對新興威脅的防護,並可能影響依賴安全啟動信任的情境,如 BitLocker 強化或第三方開機載入程式。 大多數 Windows 裝置會自動收到更新的憑證,許多 OEM 廠商也會在需要時提供韌體更新。 保持裝置隨時更新,有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。
問題三:關閉安全開機的裝置會有什麼影響?
回答:關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此,他們仍會受到開機層惡意軟體(如 bootkit)的侵害,因為安全啟動保護未被強制執行。
問題四:在我把韌體重置到預設設定後,裝置停止開機——發生了什麼事?我該怎麼修復?
回答:如果 Windows 已經使用 2023 簽署的開機管理器,但韌體被重置為不包含 Windows UEFI CA 2023 憑證的預設值,安全開機會阻擋開機程序。
可以參考FAQ:
[筆記型電腦] 疑難排解 - 開機時出現Secure Boot Violation | 官方支援 | ASUS 台灣
[桌上型電腦] 疑難排解 - 開機時出現「Secure Boot Violation」 | 官方支援 | ASUS 台灣
問題五:如果我裝置的安全開機憑證已經過期,我還能收到更新的憑證嗎?
回答:是的。 即使現有憑證已過期,包含新安全開機憑證的累積更新仍可套用。 若裝置能啟動 Windows 並安裝更新,則可依照已發布的部署指引將更新的憑證寫入韌體。 大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。
問題六:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1801),可以怎麼處理?
回答:出現此error message的原因是安全開機憑證已更新,但尚未套用到裝置韌體上。
請再繼續進行Windows Update,從Update history確認是否有更新到 KB5079473及KB2267602。
問題七:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1802),可以怎麼處理?
回答:出現此error message的原因是開機更新被刻意阻擋,因為裝置符合已知的韌體或硬體狀況,導致更新無法安全完成。
請透過華碩服務中心回報問題。
問題八:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1803),可以怎麼處理?
回答:出現此error message的原因是此裝置無法找到 PK 簽署的金鑰交換金鑰 (KEK) 。
請透過華碩服務中心回報問題。
Ref:
Frequently asked questions about the Secure Boot update process - Microsoft Support
Secure Boot DB and DBX variable update events - Microsoft Support
Windows Secure Boot certificate expiration and CA updates - Microsoft Support