Tháng 6 năm 2026. Đánh dấu vào lịch đi — không phải vì đó là ngày bạn đăng ký gym mà vẫn chưa đi, mà vì đó là thời điểm chứng chỉ bảo mật quan trọng nhất trên hàng triệu máy tính Windows sẽ hết hạn. Và khác với đăng ký gym, cái này bạn không thể phớt lờ được.
Cụ thể hơn: nếu máy tính của bạn được sản xuất trước năm 2024, khả năng cao là nó đang chạy chứng chỉ Microsoft Corporation UEFI CA 2011 — cái sẽ "về hưu" vào tháng 6/2026. Khi đó, máy của bạn sẽ ngừng nhận cập nhật Secure Boot, trở nên dễ bị tấn công bởi các mối đe dọa mới nhất và có thể gặp sự cố khởi động không mong muốn.
Tin vui: có cách để cập nhật ngay hôm nay, chỉ cần vài lệnh PowerShell và hai lần khởi động lại. Bài viết này sẽ giải thích tất cả — từ "Secure Boot là gì" cho đến "Làm thế nào để không bị ảnh hưởng". Sẵn sàng chưa? Bắt đầu thôi.
Windows Secure Boot là gì? Giải thích không cần bằng cấp
Trước khi lo lắng về việc nó "hết hạn", hãy hiểu nó là gì đã. Giải thích đơn giản nhất: Secure Boot giống như bảo vệ ở cổng tòa nhà — nhưng cho máy tính của bạn.
Khi bạn bật máy tính, trước khi Windows khởi động, firmware UEFI sẽ "hỏi giấy tờ" của toàn bộ phần mềm có trong chuỗi khởi động. Nếu phần mềm nào không có chữ ký hợp lệ từ các nhà sản xuất đáng tin cậy → bị chặn ngay, không cho vào. Đơn giản thế.
Cơ chế này được thiết kế để ngăn chặn một loại mã độc đặc biệt nguy hiểm: bootkit và rootkit. Không giống virus thông thường chỉ chạy trong Windows, bootkit cài vào trước khi Windows khởi động — tức là ngay cả antivirus tốt nhất cũng không thể phát hiện được, vì lúc antivirus bắt đầu chạy thì bootkit đã "ngồi trong nhà" từ trước rồi.
Secure Boot hoạt động như thế nào?
| Bước | Diễn ra gì? | Vai trò của Secure Boot |
|---|---|---|
| 1. Bật nguồn | Firmware UEFI khởi động | UEFI đọc danh sách chứng chỉ đáng tin cậy (db database) |
| 2. Kiểm tra bootloader | Windows Boot Manager cần chạy | Kiểm tra chữ ký số của bootloader với chứng chỉ đã lưu |
| 3. Xác thực kernel | Windows kernel (ntoskrnl.exe) nạp lên | Mỗi component được ký và xác minh trước khi thực thi |
| 4. Driver và phần mềm | Driver phần cứng, phần mềm hệ thống nạp | Chỉ driver được ký hợp lệ mới được phép chạy |
| 5. Windows khởi động | Desktop xuất hiện | Toàn bộ chuỗi đã được xác minh — không có mã lạ xâm nhập |
Chứng chỉ (certificate) ở đây đóng vai trò như "thẻ nhận dạng chính thức" — phần mềm nào có chứng chỉ hợp lệ từ Microsoft thì được tin tưởng. Phần mềm lạ không có chứng chỉ → bị chặn cứng.
Secure Boot vs. các cơ chế bảo mật khác
| Cơ chế | Bảo vệ cái gì? | Khi nào hoạt động? |
|---|---|---|
| Secure Boot | Chuỗi khởi động (boot chain) | Trước khi Windows chạy — lớp đầu tiên |
| Antivirus / Defender | File, ứng dụng trong Windows | Sau khi Windows đã chạy |
| TPM 2.0 | Khóa mã hóa, integrity check | Song song với Secure Boot |
| BitLocker | Dữ liệu trên ổ cứng | Ngay cả khi ổ bị lấy ra ngoài |
| Windows Defender Credential Guard | Thông tin xác thực, token | Trong quá trình Windows chạy |
Hiểu đơn giản: Secure Boot là lớp bảo vệ đầu tiên và căn bản nhất. Nếu nó bị bỏ qua hoặc vô hiệu hóa, tất cả các lớp sau đều có thể bị tấn công từ bên dưới — giống như bảo vệ cổng tòa nhà đi vắng thì mọi phòng bên trong đều nguy hiểm.
Vấn đề: chứng chỉ Secure Boot 2011 sắp "về hưu"
Đây là phần chính của câu chuyện. Microsoft phát hành Secure Boot cùng với UEFI từ năm 2011–2012, khi Windows 8 ra mắt. Chứng chỉ gốc có tên Microsoft Corporation UEFI CA 2011 đã phục vụ hơn 13 năm — một tuổi thọ đáng kính trong thế giới công nghệ.
Nhưng mọi chứng chỉ đều có ngày hết hạn. Và ngày đó là tháng 6 năm 2026.
Ba chứng chỉ sắp hết hạn — cần biết để không bị bất ngờ
Theo công bố chính thức từ Microsoft (Windows IT Pro Blog, tháng 6/2025), không phải một mà là ba chứng chỉ sẽ hết hạn theo từng đợt:
| Ngày hết hạn | Chứng chỉ cũ (hết hạn) | Chứng chỉ mới thay thế | Vai trò | Lưu tại |
|---|---|---|---|---|
| Tháng 6/2026 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Ký các cập nhật cho DB và DBX | KEK database |
| Tháng 6/2026 | Microsoft Corporation UEFI CA 2011 | a) Microsoft Corporation UEFI CA 2023 — b) Microsoft Option ROM UEFI CA 2023 | a) Ký OS bên thứ ba và driver phần cứng — b) Ký Option ROM của phần cứng | DB (Allowed Signature Database) |
| Tháng 10/2026 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Ký Windows bootloader và các thành phần boot của Windows | DB (Allowed Signature Database) |
Điểm thú vị: UEFI CA 2011 không chỉ được thay bằng một mà là hai chứng chỉ riêng biệt — UEFI CA 2023 (cho OS) và Option ROM UEFI CA 2023 (cho firmware phần cứng). Điều này cho phép kiểm soát chi tiết hơn: thiết bị nào cần tin tưởng Option ROM thì cài thêm Option ROM cert, không cần phải tin tưởng cả boot loader của bên thứ ba.
Timeline quan trọng bạn cần nắm
| Thời điểm | Sự kiện | Ảnh hưởng |
|---|---|---|
| 2011–2012 | Microsoft phát hành chứng chỉ UEFI CA 2011 cùng Windows 8 | Hàng triệu PC được xuất xưởng với chứng chỉ này |
| Tháng 2/2024 | Microsoft thêm chứng chỉ UEFI CA 2023 vào Windows Update | Chứng chỉ mới đã có trong máy nhưng chưa kích hoạt |
| 2025 — hiện tại | Microsoft bắt đầu triển khai theo từng giai đoạn; Copilot+ PC 2025 đã có cert 2023 sẵn | Một số máy tự cập nhật, số khác cần làm thủ công |
| Tháng 6/2026 | KEK CA 2011 và UEFI CA 2011 hết hạn chính thức | ⚠️ Máy chưa cập nhật ngừng nhận Security Updates cho Secure Boot |
| Tháng 10/2026 | Windows Production PCA 2011 hết hạn | ⚠️ Không nhận bản vá Windows Boot Manager mới |
| 2038 | Chứng chỉ UEFI CA 2023 hết hạn | Thế hệ tiếp theo sẽ lại phải làm điều tương tự 😅 |
Điều gì xảy ra nếu bạn không cập nhật?
Câu hỏi công bằng. Máy tính của bạn sẽ không "nổ tung" ngay lập tức vào tháng 6/2026. Nhưng về lâu dài, đây là những hệ quả:
- Không nhận Windows Boot Manager updates mới: Microsoft liên tục vá lỗ hổng trong bootloader. Nếu chứng chỉ cũ hết hạn, các bản vá mới (được ký bằng chứng chỉ 2023) sẽ không được UEFI của bạn tin tưởng.
- Dễ bị tấn công bootkit thế hệ mới: Các bootkit như BlackLotus (phát hiện 2023), CosmicStrand, MosaicRegressor được thiết kế để bypass Secure Boot. Microsoft cần liên tục cập nhật DBX (danh sách đen) để chặn chúng — điều này yêu cầu chứng chỉ mới.
- Xung đột với phần cứng mới: Driver và firmware của các thiết bị sản xuất sau 2024 có thể được ký bằng chứng chỉ 2023. Máy chưa cập nhật có thể từ chối chúng.
- Nguy cơ sự cố khởi động: Trong một số trường hợp, UEFI có thể từ chối khởi động Windows nếu phát hiện xung đột chứng chỉ.
Tóm lại: không cập nhật giống như dùng ổ khóa cũ kỹ mà chìa khóa bổ sung nào cũng không vừa nữa. Máy vẫn mở được, nhưng ngày càng kém an toàn và kém tương thích.
Chứng chỉ mới: Windows UEFI CA 2023 — có gì khác biệt?
Chứng chỉ Windows UEFI CA 2023 không chỉ là bản "gia hạn" của cái cũ — nó được xây dựng lại từ đầu với các cải tiến bảo mật đáng kể:
| Tiêu chí | UEFI CA 2011 (cũ) | UEFI CA 2023 (mới) |
|---|---|---|
| Năm phát hành | 2011 | 2023 |
| Hết hạn | Tháng 6/2026 | 2038 |
| Thuật toán mã hóa | RSA-2048 / SHA-1 | RSA-4096 / SHA-256 (mạnh hơn nhiều) |
| Hỗ trợ DBX updates | Hạn chế | Đầy đủ — chặn bootkit mới nhất |
| Tương thích phần cứng mới | Hạn chế | Tốt — driver/firmware từ 2024+ được hỗ trợ |
| Chuẩn UEFI Forum | UEFI 2.3 | UEFI 2.9+ (chuẩn mới nhất) |
Điểm nâng cấp đáng chú ý nhất là việc chuyển từ SHA-1 sang SHA-256. SHA-1 đã bị chứng minh là có thể bị tấn công collision từ năm 2017 — tức là về lý thuyết, kẻ tấn công có thể tạo ra chứng chỉ giả mà máy tính nghĩ là thật. SHA-256 hiện chưa có điểm yếu đã biết nào tương tự.
Kiểm tra máy tính của bạn đang dùng chứng chỉ nào — 2 phút là xong
Trước khi làm bất cứ điều gì, hãy kiểm tra xem máy tính đã được Microsoft cập nhật tự động chưa. Có thể bạn không cần làm gì thêm!
Bước 1: Mở PowerShell với quyền Administrator
Nhấn Windows + S, gõ powershell, nhấp chuột phải vào Windows PowerShell → chọn Run as administrator. Xác nhận UAC nếu được hỏi.
Bước 2: Chạy lệnh kiểm tra
Sao chép và dán lệnh sau vào cửa sổ PowerShell, rồi nhấn Enter:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Đọc kết quả
| Kết quả hiển thị | Ý nghĩa | Việc cần làm |
|---|---|---|
| True | ✅ Máy tính đã có chứng chỉ UEFI CA 2023 | Không cần làm gì thêm — bạn đã an toàn! |
| False | ⚠️ Máy tính chưa có hoặc chưa kích hoạt chứng chỉ mới | Làm theo hướng dẫn bên dưới để cập nhật |
| Error / Exception | ❓ Secure Boot có thể đang tắt hoặc firmware không hỗ trợ | Kiểm tra BIOS/UEFI xem Secure Boot có đang bật không |
Hướng dẫn cập nhật chứng chỉ Secure Boot 2023 thủ công
Nếu kết quả trả về False, đừng lo — quá trình cập nhật khá đơn giản và không có rủi ro nếu bạn làm đúng theo hướng dẫn. Microsoft đã thêm sẵn chứng chỉ vào máy từ tháng 2/2024 — bạn chỉ cần "bật" nó lên thôi.
Điều kiện tiên quyết:
- Windows 10 phiên bản 1903 trở lên, hoặc Windows 11 bất kỳ phiên bản nào
- Máy tính đã được cập nhật ít nhất một lần sau tháng 2/2024
- Secure Boot đang được bật trong UEFI/BIOS
- Quyền Administrator trên máy tính
Bước 1: Triển khai chứng chỉ mới từ kho lưu trữ Windows
Mở PowerShell với quyền Administrator (như đã hướng dẫn ở trên) và chạy lệnh sau:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Lệnh này làm gì? Nó chỉnh sửa Registry để báo cho Windows biết cần triển khai chứng chỉ UEFI CA 2023. Giá trị bitmask 0x5944 thực chất kích hoạt 6 tác vụ con khác nhau để chuẩn bị máy tính cho việc cài đặt — bao gồm sao chép chứng chỉ từ kho WinSxS ra khu vực staging.
Bước 2: Kích hoạt tác vụ cài đặt chứng chỉ
Chạy tiếp lệnh sau trong cùng cửa sổ PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Lệnh này làm gì? Kích hoạt một Scheduled Task tên Secure-Boot-Update để Windows thực hiện các kiểm tra tương thích và chuẩn bị cài đặt chứng chỉ trong lần khởi động tiếp theo. Bạn có thể thấy máy tính phản hồi hơi chậm trong vài giây — bình thường, không cần lo.
Bước 3: Khởi động lại máy tính 2 lần (quan trọng!)
Đây là bước quan trọng nhất và cũng là bước nhiều người hay bỏ qua hoặc làm sai:
- Phải dùng "Restart" (khởi động lại), không phải "Shut down rồi bật lại". Nếu máy bạn đang bật tính năng Fast Startup, việc tắt máy sẽ không xóa hoàn toàn bộ nhớ — điều này cần thiết để các thay đổi chứng chỉ có hiệu lực.
- Khởi động lại 2 lần liên tiếp. Lần đầu: Windows nạp chứng chỉ vào firmware UEFI. Lần hai: UEFI kiểm tra và xác nhận chứng chỉ mới.
Cách khởi động lại an toàn: Start → Power → Restart (không phải Shut down).
Bước 4: Xác nhận lại sau khi cập nhật
Sau khi khởi động lại xong, mở lại PowerShell với quyền Admin và chạy lại lệnh kiểm tra:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'Lần này bạn sẽ thấy kết quả True. Xong! Chứng chỉ mới đã có hiệu lực đến năm 2038.
Xử lý sự cố — khi mọi thứ không diễn ra như kế hoạch
Lỗi "Secure Boot is not enabled on this machine"
Nguyên nhân: Secure Boot đang bị tắt trong UEFI/BIOS.
Giải pháp: Vào BIOS/UEFI (thường nhấn F2, F12, Delete hoặc Esc khi khởi động), tìm mục "Secure Boot" trong tab Security hoặc Boot và bật nó lên. Lưu và thoát. Sau đó thực hiện lại các bước ở trên.
Lưu ý: Nếu máy của bạn có cài đặt dual boot (Windows + Linux), hãy kiểm tra xem distro Linux bạn đang dùng có hỗ trợ Secure Boot không trước khi bật. Ubuntu 18.04+, Fedora 29+, openSUSE Leap đều hỗ trợ. Arch Linux và một số distro khác cần cấu hình thêm.
Lệnh chạy xong nhưng vẫn trả về False sau khi khởi động lại
Nguyên nhân có thể:
- Máy tính chưa nhận bản cập nhật Windows tháng 2/2024 (chứng chỉ chưa có trong kho WinSxS)
- Bạn đã "Shut down" thay vì "Restart"
- Firmware UEFI của máy không hỗ trợ cập nhật chứng chỉ từ OS
Giải pháp: Trước tiên, đảm bảo Windows đã cập nhật đầy đủ: Settings → Windows Update → Check for updates. Cài tất cả các bản cập nhật có sẵn, khởi động lại, rồi thực hiện lại toàn bộ quy trình. Nếu vẫn thất bại, liên hệ nhà sản xuất máy để xem có BIOS/UEFI update nào mới hơn không.
Máy không khởi động được sau khi cập nhật
Trường hợp này rất hiếm nhưng không phải không xảy ra. Nếu gặp phải:
- Vào BIOS/UEFI và tạm thời tắt Secure Boot để khởi động vào Windows
- Dùng Windows Recovery để repair boot: bootrec /fixmbr và bootrec /fixboot
- Nếu vẫn không được, dùng USB cài Windows để vào Recovery Environment
Bức tranh lớn hơn: Microsoft đang siết chặt bảo mật Windows như thế nào?
Việc cập nhật Secure Boot không phải là sự kiện đơn lẻ — nó nằm trong một chiến lược bảo mật dài hơi mà Microsoft đang âm thầm triển khai trong nhiều năm qua. Hiểu bức tranh lớn hơn giúp bạn không bị bất ngờ lần sau.
Chuỗi các bước Microsoft đã và đang làm
| Năm | Thay đổi | Tác động |
|---|---|---|
| 2012 | Secure Boot bắt buộc với Windows 8 | PC Windows đầu tiên có bảo vệ boot chain |
| 2021 | Windows 11 yêu cầu TPM 2.0 + Secure Boot | Hàng triệu PC cũ không thể nâng cấp chính thức |
| 2022–2023 | Phát hiện và vá lỗ hổng BlackLotus bootkit | Microsoft cập nhật DBX blacklist khẩn cấp |
| 2024 | Thêm chứng chỉ UEFI CA 2023 vào Windows Update | Chuẩn bị cho quá trình chuyển đổi |
| 2025 | Triển khai dần dần chứng chỉ mới | Một số máy tự cập nhật, số khác cần làm thủ công |
| 10/2025 | Windows 10 hết vòng đời hỗ trợ chính thức | Người dùng cần nâng lên Win 11 hoặc mua ESU |
| 6/2026 | Chứng chỉ UEFI CA 2011 hết hạn | Deadline hiện tại — chủ đề của bài viết này |
Sự kiện BlackLotus — tại sao Secure Boot update lại cấp thiết?
Năm 2023, các nhà nghiên cứu bảo mật tại ESET phát hiện BlackLotus — bootkit đầu tiên trong lịch sử được xác nhận là có thể bypass Secure Boot ngay cả trên Windows 11 đã được vá đầy đủ. BlackLotus khai thác lỗ hổng CVE-2022-21894 (được đặt tên là "Baton Drop") để vô hiệu hóa Secure Boot và cài đúng vào boot chain.
Microsoft phản ứng bằng cách cập nhật DBX (Forbidden Signature Database) để blacklist các bootloader dễ bị tấn công. Nhưng việc triển khai bản vá này đòi hỏi chứng chỉ mới — một trong những lý do thúc đẩy quá trình chuyển sang UEFI CA 2023.
Bài học ở đây: Secure Boot không phải bất khả xâm phạm, nhưng hệ thống chứng chỉ mới giúp Microsoft phản ứng nhanh hơn trước các mối đe dọa mới.
Ai bị ảnh hưởng và ai không cần lo?
| Nhóm người dùng | Tình trạng | Cần làm gì? |
|---|---|---|
| PC mua từ 2024 trở đi | ✅ Hầu hết đã có chứng chỉ 2023 từ đầu | Chạy lệnh kiểm tra để xác nhận, không cần lo nhiều |
| PC cũ đã nhận Windows Update đều đặn | ⚠️ Có thể đã được cập nhật tự động, cần kiểm tra | Chạy lệnh kiểm tra, nếu False thì làm theo hướng dẫn |
| PC cũ ít khi cập nhật Windows | ❌ Gần chắc chắn chưa có chứng chỉ mới | Cập nhật Windows đầy đủ, sau đó làm theo hướng dẫn |
| Người dùng Windows 10 | ⚠️ Windows 10 hết hỗ trợ 10/2025, cần xem xét thêm | Nên nâng cấp lên Win 11 hoặc mua ESU, đồng thời cập nhật Secure Boot |
| Doanh nghiệp dùng Windows Enterprise | ⚠️ Thường có Group Policy kiểm soát update | Liên hệ IT admin — có thể cần triển khai qua SCCM/Intune |
| PC dual boot Linux + Windows | ⚠️ Cần kiểm tra Linux distro có hỗ trợ Secure Boot không | Kiểm tra trước khi cập nhật để tránh Linux không boot được |
Một điều cần nhớ thêm: Windows 10 và ESU
Nếu bạn đang dùng Windows 10, có thêm một vấn đề khác song song với Secure Boot: Microsoft đã chính thức kết thúc hỗ trợ Windows 10 vào tháng 10 năm 2025. Điều này có nghĩa là:
- Không còn bản vá bảo mật miễn phí sau tháng 10/2025
- Doanh nghiệp có thể mua ESU (Extended Security Updates) để tiếp tục nhận vá lỗi với phí $30/thiết bị/năm (Year 1), tăng dần theo năm
- Người dùng cá nhân: nên cân nhắc nâng cấp lên Windows 11 nếu phần cứng đủ điều kiện
Kết hợp hai vấn đề lại: Nếu bạn đang dùng Windows 10 trên PC cũ mà phần cứng không đủ điều kiện cho Windows 11, bạn đang đối mặt với cả hai rủi ro cùng lúc: hết hỗ trợ OS và chứng chỉ Secure Boot sắp hết hạn. Đây là lúc cân nhắc nghiêm túc việc nâng cấp phần cứng.
Tóm lại: cần làm gì và làm ngay khi nào?
Bài viết dài nhưng thực chất việc cần làm rất đơn giản. Đây là checklist nhanh:
- ✅ Kiểm tra ngay: Chạy lệnh PowerShell để biết máy bạn đang ở tình trạng nào.
- ✅ Nếu kết quả True: Thở phào, bạn không cần làm gì thêm.
- ✅ Nếu kết quả False: Cập nhật Windows đầy đủ trước, sau đó chạy hai lệnh Registry + Scheduled Task, khởi động lại 2 lần.
- ✅ Đặt nhắc nhở: Deadline là tháng 6/2026 — đừng để đến phút chót.
- ✅ IT Admin: Lên kế hoạch triển khai hàng loạt cho toàn bộ fleet ngay bây giờ.
Nhìn lại, đây không phải lần đầu tiên và cũng sẽ không phải lần cuối cùng Microsoft yêu cầu chúng ta cập nhật hạ tầng bảo mật. Năm 2038, chứng chỉ UEFI CA 2023 sẽ lại hết hạn và chúng ta sẽ lại làm điều tương tự — hy vọng đến lúc đó quy trình sẽ tự động hoàn toàn và không cần viết bài hướng dẫn như thế này nữa 😄
Đến lúc đó, chúc máy tính của bạn luôn khởi động an toàn và không bao giờ gặp bootkit nào cả!
Nguồn tham khảo
- Microsoft Tech Community — Act now: Secure Boot certificates expire in June 2026
- Microsoft Tech Community — Secure Boot playbook for certificates expiring in 2026
- Microsoft Support — Windows Secure Boot certificate expiration and CA updates
- Microsoft Support — Frequently asked questions about the Secure Boot update process
- Microsoft Support — When Secure Boot certificates expire on Windows devices
- Microsoft Security Response Center — CVE-2022-21894 "Baton Drop" (BlackLotus exploit)
0 Bình luận