หลายคนอาจจะจำ Secure Boot กันไม่ค่อยได้ ยกเว้นตอนที่ลง Windows 11 ใหม่ ๆ ที่ต้องใช้เครื่องที่มี TPM 2.0 และรองรับ Secure Boot ถึงจะติดตั้งได้ หรือบางคนอาจเคยเจอเวลาเล่นเกมออนไลน์สาย E-Sport ที่ระบบ Anti-Cheat บางตัวบังคับให้เปิด Secure Boot ถึงจะเล่นได้ แต่จริง ๆ แล้วฟีเจอร์นี้มีความสำคัญกว่านั้นมาก เพราะมันทำหน้าที่เป็นด่านแรกในการป้องกันเครื่องไม่ให้รันโค้ดที่ไม่น่าเชื่อถือในช่วงบูตเครื่อง โดยจะยอมให้โหลดเฉพาะเฟิร์มแวร์และ bootloader ที่ถูกเซ็นด้วยใบรับรองดิจิทัลที่ไว้ใจได้เท่านั้น เพื่อกันมัลแวร์ระดับล่างอย่าง rootkit หรือ bootkit ไม่ให้ฝังตัวตั้งแต่เปิดเครื่อง

ล่าสุด Microsoft ได้ออกเอกสารเตือนพร้อมแนวทางปฏิบัติใหม่ว่า ใบรับรอง Secure Boot รุ่นเก่า (ปี 2011) ที่ใช้งานมากับระบบปฏิบัติการ Windows ตั้งแต่ Windows 8, 10, 11 รวมถึง Windows Server หลายรุ่น จะหมดอายุในเดือน มิถุนายน 2026 ซึ่งหากไม่ได้รับการอัปเดต เครื่องอาจบูตไม่ขึ้น หรือติดตั้งแพตช์ความปลอดภัยที่ลงนามด้วยใบรับรองใหม่ไม่ได้ ผลคือเสี่ยงต่อการโจมตีไซเบอร์โดยตรง

ใบรับรองที่จะถูกแทนที่

  • Microsoft Corporation KEK CA 2011 เปลี่ยนเป็น KEK CA 2023
  • Microsoft UEFI CA 2011 เปลี่ยนเป็น UEFI CA 2023 / Option ROM UEFI CA 2023
  • Windows Production PCA 2011 จะหมดอายุเดือน ต.ค. 2026 แล้วถูกแทนด้วย Windows UEFI CA 2023

ใบรับรองเหล่านี้คือ “รากฐานความเชื่อมั่น” ของ Secure Boot ถ้าไม่ถูกอัปเดต จะทำให้ระบบสูญเสียความสามารถในการตรวจสอบ bootloader และไฟล์สำคัญในขั้นตอนบูต นำไปสู่ความเสี่ยงบูตล้มเหลวและมัลแวร์ระดับ bootkit

ผู้ใช้ทั่วไปต้องทำอย่างไร

ถ้าเป็นผู้ใช้ Windows Home/Pro ที่ปล่อยให้ Windows Update ทำงานตามปกติ แทบไม่ต้องกังวลอะไร เพราะ Microsoft จะอัปเดตใบรับรองให้เองแบบเบื้องหลังผ่าน cumulative updates สิ่งสำคัญคือ “อย่าปิด Windows Update” เป็นเวลานาน เพราะการอัปเดตนี้จะมากับแพตช์อัปเดตที่มีขนาดใหญ่เกินไป จนทำให้เสียเวลาอัปเดตนาน

ผู้ใช้ Windows 10 ต้องระวังเป็นพิเศษ

สำหรับ Windows 10 Home และ Pro ที่เปิดใช้งาน Secure Boot อยู่ การซัพพอร์ตหลักจะสิ้นสุดลงในวันที่ 14 ตุลาคม 2025 หลังจากนั้นจะไม่ได้รับใบรับรองใหม่อีก นั่นหมายความว่าพอถึงช่วงกลางปี 2026 หากยังใช้เครื่องเดิมโดยไม่อัปเกรดไป Windows 11 ก็มีความเสี่ยงสูงที่ระบบจะบูตไม่ขึ้น หรือติดตั้งอัปเดตความปลอดภัยไม่ได้

ฝั่งองค์กรที่ใช้งาน Windows 10 Enterprise หรือ Education ยังมีทางเลือกอยู่ โดยสามารถเข้าร่วมโปรแกรม Extended Security Updates (ESU) เพื่อขยายการซัพพอร์ตและรับใบรับรอง Secure Boot ใหม่ต่อไป แต่ก็ต้องมีค่าใช้จ่ายรายปี ส่วน Windows 10 LTSC/LTSB ยังอยู่ในรอบซัพพอร์ตยาว จึงยังได้รับการอัปเดตใบรับรองตามปกติ

ถ้า Windows 10 ปิด Secure Boot อยู่ ?

กรณีนี้การหมดอายุของใบรับรองอาจไม่ส่งผลโดยตรง เพราะระบบไม่ได้ตรวจสอบอยู่แล้ว เครื่องจึงยังบูตได้ตามปกติ แต่ก็ต้องยอมรับว่าความปลอดภัยลดลงไปหนึ่งชั้นเต็ม ๆ เพราะ Secure Boot ถูกออกแบบมาเพื่อป้องกันมัลแวร์ที่ฝังตัวตั้งแต่ขั้นตอนเปิดเครื่อง และหากในอนาคตอยากกลับมาเปิด Secure Boot หรืออัปเกรดไป Windows 11 LTSC ก็อาจยุ่งยาก ต้องทำขั้นตอน migration เพิ่มเพื่อรับใบรับรองใหม่

ดังนั้นสำหรับผู้ใช้ทั่วไปที่ยังอยู่กับ Windows 10 ก็ไม่จำเป็นต้องตกใจจนเกินไป เพราะโดยค่าเริ่มต้น Windows 10 ไม่ได้บังคับให้เปิด Secure Boot เครื่องที่ปิดฟีเจอร์นี้ตั้งแต่แรกยังสามารถใช้งานต่อได้ แม้ใบรับรองจะหมดอายุในปี 2026 แต่ก็ต้องเข้าใจว่าการเลือกปิด Secure Boot คือการยอมลดระดับความปลอดภัยของระบบลงไปเอง

ขณะที่เครื่องที่เปิดใช้งานอยู่ โดยเฉพาะในองค์กรที่ต้องการมาตรฐานความปลอดภัยสูง หรือคอมพิวเตอร์ที่ใช้เล่นเกมที่มีระบบ Anti-Cheat บังคับเปิด Secure Boot นั้น เรื่องการอัปเดตใบรับรองใหม่ถือว่าสำคัญมาก หากปล่อยให้หมดอายุโดยไม่อัปเดตจริง ๆ ปัญหาบูตไม่ติดหรือติดตั้งแพตช์ใหม่ไม่ได้อาจเกิดขึ้นได้ทันที และส่งผลกระทบต่อการทำงานหรือการใช้งานในชีวิตประจำวันอย่างแน่นอนครับ

การอัปเดตใบรับรองขึ้นกับ OEM

ผู้ใช้ทั่วไปไม่สามารถเข้าไปเปลี่ยนใบรับรองเองได้ ต้องรออัปเดตจากผู้ผลิตฮาร์ดแวร์ (OEM) ผ่าน BIOS/UEFI หรือ Windows Update โดยตอนนี้เริ่มมีหลายค่ายปล่อยอัปเดตแล้ว เช่น Lenovo ที่ปล่อย BIOS รุ่นใหม่สำหรับบางรุ่น ThinkPad/ThinkCentre, Dell ผ่านเครื่องมือ Dell Command | Update, HP รวมถึง Microsoft Surface ที่อัปเดต firmware ผ่าน Windows Update โดยตรง

องค์กรที่มีเครื่องจำนวนมากควรตรวจสอบ release note ของ BIOS/UEFI ว่ามีการเพิ่ม “KEK 2023” หรือ “UEFI CA 2023” หรือไม่ และควรทดสอบในสภาพแวดล้อมจำลองก่อน deploy จริง เพื่อป้องกันปัญหาบูตล้มเหลวหรือซอฟต์แวร์เฉพาะทางไม่ทำงาน

Microsoft แนะเริ่มเตรียมการตั้งแต่วันนี้

แม้เส้นตายจะยังอีกเกือบสองปี แต่ Microsoft ย้ำว่าอย่าชะล่าใจ เพราะนี่ถือเป็นการอัปเดต Secure Boot certificate ครั้งใหญ่ระดับ global ครั้งแรกในรอบ 15 ปี หากรอจนถึงช่วงหมดอายุจริง อาจสายเกินแก้ และทำให้ทั้งผู้ใช้ทั่วไปและองค์กรเจอปัญหาเครื่องบูตไม่ขึ้นพร้อมกันทั่วโลก

ที่มา : neowin