注目★★★★★Hacker News
Secure Boot証明書、2025年9月に失効—Linuxインストールに影響大
30秒で把握
- 1Microsoft 2011年Secure Boot鍵が2025年9月11日に失効・Linuxインストールに直撃
- 2fwupd最新版でKEK/DB更新が可能だが成功率98〜99%・古いBIOSは失敗リスクあり
- 39月前にfwupd更新とKEK適用を完了・新規ISOは2023年鍵署名版を選択すること
要約
LinuxのSecure Bootが依存するMicrosoftの2011年署名鍵が2025年9月11日に失効し、以降のインストールメディアはそのままではSecure Bootで起動できなくなる。2023年に発行された新しいMicrosoft UEFIキーへの切り替えが必要だが、多くのシステムのファームウェアDBにはこの新鍵が未登録のままとなっている。fwupdの最新版がKEKおよびDB更新に対応し、成功率は98〜99%に達するが、古いBIOSでは「efivarfs書き込み失敗」が起き、BIOSを工場出荷時設定に戻してefivar領域を再確保する必要がある。既存インストール済みディストリビューションのブートはディストリ固有鍵で継続できるが、新規インストールやインストールメディア起動には更新済みshimと新鍵の導入が不可欠だ。
あなたへの影響
Secure Bootが有効なLinuxマシンを管理しているエンジニアは、fwupdを最新版に更新しKEK/DBアップデートを9月11日より前に適用しておくべきで、古いBIOSを持つ機器では適用後のリブートと動作確認まで必ず実施すること。
推奨:新規OSインストール用のメディアはMicrosoft 2023 UEFIキーで署名された最新shimを含むISOを使う必要があり、ディストリビューターのリリースノートを事前に確認すべき。