Win 10 / 11 用戶注意：2026 年 6 月 Secure Boot 憑證即將到期，你的電腦準備好了嗎？

這件事是怎麼回事

Microsoft 在 2011 年為電腦的安全開機功能（Secure Boot）發了一批根憑證，這批憑證被內嵌在幾乎所有 2012 年後出廠的 Windows PC 主機板裡，每次電腦開機時都靠它來確認系統是乾淨、沒被動手腳的。

這批憑證的有效期限是 15 年，2026 年 6 月正式失效。不是某幾台電腦的特殊問題，而是全球幾乎所有 Windows PC 共用同一張憑證、同時到期。

Microsoft 從 2023 年就已備好新版替換憑證，並從 2026 年 4 月起透過 Windows Update 開始推送。

電腦不會直接無法開機，現有軟體也繼續正常執行，但開機層的安全防護會逐漸失效：

用 PowerShell 確認（最直接）

以系統管理員身分開啟 PowerShell，輸入以下指令：

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

從介面確認

開啟「Windows 安全性」→「裝置安全性」→「安全開機」，查看憑證狀態。

大多數人只需要跑一次 Windows Update 就搞定：

Windows 11 且有開啟 Secure Boot 的機器，大多已自動完成更新，不需要手動操作。

如果跑完 Windows Update 仍回傳 False，可能需要到主機板品牌官網下載含新憑證的最新 BIOS 韌體。ASUS 可參考 FAQ 1056845，MSI 可參考 FAQ 11305。

更新 BIOS 前請先備份 BitLocker 金鑰
登入微軟帳號到 account.microsoft.com/devices/recoverykey 儲存備份，否則更新後可能被鎖在電腦外面。

更新 BIOS 韌體後最常遇到這個狀況，PCR 值改變觸發 BitLocker 保護機制。

金鑰可以在這些地方找到：

輸入 48 位數金鑰後即可正常進入系統。

開機程式的簽章被新版撤銷清單擋住，處理步驟如下：

強制關機三次（開機到 Windows Logo 出現後強制關機），系統會自動進入 WinRE 修復環境。

進入後選「疑難排解」→「進階選項」→「啟動修復」，讓系統自動偵測修復。

若啟動修復失敗，可在同介面開啟「命令提示字元」執行以下指令：

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

暫時進 BIOS 關閉 Secure Boot，讓系統可以先開機。進入 Windows 後完成 Windows Update 憑證更新，並確認 Linux 端的 shim 和 GRUB 也已更新。完成後回 BIOS 重新啟用 Secure Boot。

Windows 10 已於 2025 年 10 月終止支援，沒有 ESU 訂閱的話，Windows Update 無法取得新憑證，這批用戶受影響最大。

替代選擇是使用 GitHub 上的開源腳本 anomixer/Update-SecureBootCert，這個工具不需要 ESU 訂閱也能完成憑證更新。

參考來源

相關分類