انقضای گواهینامه‌های مایکروسافت؛ ریسک امنیتی برای میلیون‌ها رایانه ویندوزی

اگر از یک رایانه قدیمی استفاده می‌کنید، سدی که شما را در برابر خطرناک‌ترین بداف‌افزارهای دنیا حفظ می‌کند، با یک ضرب‌الاجل حیاتی رو‌به‌رو شده است. طبق اعلام مایکروسافت (Microsoft)، در تاریخ ۲۴ ژوئن ۲۰۲۶، اولین مورد از چهار گواهینامه امنیتی ضروری این شرکت منقضی می‌شود. این اتفاق به‌طور بالقوه میلیون‌ها دستگاه را در وضعیتی قرار می‌دهد که قادر به تأیید نرم‌افزارهای بوت جدید نیستند.

این بحران در دورانی رخ می‌دهد که متخصصان IT تحت فشار شدیدی هستند؛ جایی که ضرب‌الاجل اخیر برای پایان پشتیبانی از ویندوز ۱۰، آزمونی بزرگ برای مصرف‌کنندگان و سازمان‌ها به شمار می‌رفت. برای کسانی که این انتقال دشوار را با موفقیت پشت سر گذاشتند، تبریکات لازم است، اما این جشن باید کوتاه باشد؛ زیرا اکنون ساعت برای یکپارچگی سیستم در حال تیک‌تیک است و تهدیدی جدید در کمین است.

این وضعیت یک سقوط ناگهانی نیست، بلکه یک شمارش معکوس برای حفظ یکپارچگی سیستم است. سرویس بوت امن (Secure Boot) — که شبیه به یک نگهبان دیجیتال در ورودی ساختمان است و فقط کسانی را که کارت شناسایی معتبر دارند اجازه ورود می‌دهد — از سال ۲۰۱۱ به عنوان دروازه‌بان دیجیتال هر رایانه طراحی و ساخته شده عمل می‌کند تا مطمئن شود فقط نرم‌افزارهای مورد اعتماد در هنگام راه‌اندازی (Startup) اجرا می‌شوند. این قابلیت در تمام رایانه‌های جدیدی که با ویندوز ۱۰ و ویندوز ۱۱ فروخته شده‌اند، به‌صورت پیش‌فرض فعال است. اگر این گواهینامه‌ها بدون جایگزینی منقضی شوند، رایانه شما همچنان بوت می‌شود و به‌طور عادی کار خواهد کرد، اما دیگر نمی‌تواند اصلاحات امنیتی حیاتی برای مدیریت بوت ویندوز (Windows Boot Manager)، پایگاه‌های داده بوت امن و لیست‌های ابطالی (Revocation Lists) که آسیب‌پذیری‌های شناخته شده در زنجیره بوت را مسدود می‌کنند، دریافت کند.

تصور کنید کارت شناسایی امنیتی شما منقضی شده است؛ شما هنوز می‌توانید با استفاده از یک کلید قدیمی وارد ساختمان شوید، اما دیگر نمی‌توانید کارت جدیدی برای دسترسی به مناطق با امنیت بالا دریافت کنید. در این سناریو، «منطقه با امنیت بالا» همان زنجیره بوت است؛ جایی که خطرناک‌ترین بداف‌افزارها مانند روت‌کیت‌ها (Rootkits) سکنی می‌گزینند. اگر این روت‌کیت‌ها در لحظه راه‌اندازی اجرا شوند، به‌سادگی توسط آنتی‌ویروس‌های استاندارد شناسایی نمی‌شوند زیرا پیش از بارگذاری سیستم‌عامل و ابزارهای امنیتی فعال شده‌اند.

همان‌طور که در تحلیل قبلی ما درباره‌ی امنیت مدل‌های بازمتن و زیرساخت‌های سخت‌افزاری اشاره کردیم، وابستگی شدید نرم‌افزار به کلیدهای سخت‌افزاری همواره یک نقطه ضعف استراتژیک ایجاد می‌کند.

جدول زمانی انقضا

مایکروسافت درباره استراتژی خود برای جایگزینی این گواهینامه‌های قدیمی شفاف بوده و از اوایل سال ۲۰۲۵ راهنمایی‌های لازم را برای مصرف‌کنندگان و مشتریان سازمانی ارائه کرده است. این انتقال شامل جایگزینی کلیدهای دوران ۲۰۱۱ با نسخه‌های سال ۲۰۲۳ است تا استانداردهای امنیتی مدرن رعایت شوند. بر اساس مستندات پشتیبانی مایکروسافت (Microsoft Support)، برنامه زمانی دقیق به شرح زیر است:

Microsoft Corporation KEK CA 2011: در ۲۴ ژوئن ۲۰۲۶ منقضی شد. این گواهینامه، کلید ثبت (KEK) یا کلید تبادل کلید است که برای امضای به‌روزرسانی‌های «پایگاه داده امضای بوت امن» (DB) و «پایگاه داده امضای ابطال شده» (DBX) استفاده می‌شود.
Microsoft UEFI CA 2011: در ۲۷ ژوئن ۲۰۲۶ منقضی می‌شود. این گواهینامه، بوت‌لودرهای شخص ثالث و برنامه‌های EFI را امضا می‌کند. شایان ذکر است که این مورد با دو امضا جایگزین شد تا سازمان‌ها بتوانند ROMهای Option شخص ثالث را بدون نیاز به اعتماد به بوت‌لودرهای شخص ثالث، تأیید کنند.
Microsoft Option ROM UEFI CA 2011: در ۲۷ ژوئن ۲۰۲۶ منقضی می‌شود. این گواهینامه مخصوص امضای ROMهای Option شخص ثالث است.
Microsoft Windows Production PCA 2011: در ۱۹ اکتبر ۲۰۲۶ منقضی می‌شود. این گواهینامه، بوت‌لودر اصلی ویندوز را امضا می‌کند.

انقضای گواهی امنیتی مهم ویندوز امروز؛ نحوه بررسی رایانه شخصی

نحوه عملکرد بوت امن

بوت امن بر پایه زنجیره‌ای از گواهینامه‌های رمزنگاری شده در سفت‌افزار (Firmware) UEFI است. این سیستم با اجازه دادن به اجرای تنها نرم‌افزارهای مورد اعتماد در طول فرآیند بوت، مانند یک دروازه‌بان عمل می‌کند. اگر یک مهاجم تلاش کند سیستم‌عامل را دست‌کاری کند یا از یک دستگاه جایگزین بوت شود، Secure Boot این تلاش را مسدود می‌کند. در حال حاضر تمام نسخه‌های پشتیبانی‌شده ویندوز از این قابلیت پشتیبانی می‌کنند و تعداد رو به افزایشی از توزیع‌های لینوکس از جمله اوبونتو (Ubuntu)، فدورا (Fedora)، لینوکس مینت (Linux Mint) و اوپن‌سوزه (OpenSUSE) نیز این قابلیت را پشتیبانی می‌کنند.

سازوکار اعتماد

برای درک وخامت فنی و اهمیت این تاریخ‌های انقضا، باید به معماری زیرساختی فرآیند بوت نگاه کرد:

ریشه اعتماد (Root of Trust): کلید پلتفرم (Platform Key) توسط سازنده سخت‌افزار (OEM) مدیریت می‌شود و برای به‌روزرسانی گواهینامه‌ها ضروری است. شما برای اعمال کلیدهای جدید، نیاز به دسترسی به این ریشه دارید.
KEK و TPM: کلید ثبت (KEK) در تعامل با ماژول پلتفرم مورد اعتماد (TPM) کار می‌کند تا لیست بوت‌لودرهای مورد اعتماد را مدیریت نماید.
پایگاه‌های داده: بوت‌لودرهای مورد اعتماد در «پایگاه داده امضای مجاز» (DB) و موارد مسدود شده در «پایگاه داده امضای ممنوعه» (DBX) قرار می‌گیرند.
زنجیره: گواهینامه‌های UEFI CA و Production Certificate Authority (CA) صادر شده توسط مایکروسافت نیز برای عملیات کلی فرآیند بوت ضروری هستند.

از آنجایی که این سیستم به‌گونه‌ای طراحی شده است که از ربودن فرآیند بوت توسط بدافزارها جلوگیری کند، جایگزینی این گواهینامه‌ها عمداً دشوار ساخته شده است. اگر تعویض آن‌ها آسان بود، هر توسعه‌دهنده بدافزاری در جهان بر ایجاد روت‌کیت‌هایی تمرکز می‌کرد که بتوانند پیش از بارگذاری سیستم‌عامل، خود را به زنجیره بوت تزریق کنند.

چه کسانی در معرض خطر هستند؟

اگر رایانه خود را بین سال‌های ۲۰۱۲ تا ۲۰۲۴ خریداری کرده‌اید، احتمالاً دستگاه شما با گواهینامه‌های ۲۰۱۱ عرضه شده است. با این حال، تأثیر این موضوع بسته به سن سخت‌افزار و سازنده متفاوت است:

رایانه‌های Copilot+ (مدل‌های ۲۰۲۵ به بعد): این دستگاه‌ها از پیش گواهینامه‌های ۲۰۲۳ را دارند و نیاز به هیچ اقدامی نیست.
سازندگان اصلی (Dell, HP, Lenovo, ASUS, Surface): اکثر کاربرانی که از نسخه‌های پشتیبانی‌شده ویندوز استفاده می‌کنند — از جمله کاربران ویندوز ۱۱ و کاربران ویندوز ۱۰ دارای اشتراک به‌روزرسانی‌های امنیتی گسترده (ESU) — این به‌روزرسانی را به‌صورت خودکار از طریق فرآیندهای ماهانه Windows Update دریافت خواهند کرد. برخی تولیدکنندگان حتی مدتهاست رایانه‌های خود را با هر دو مجموعه گواهینامه عرضه می‌کنند تا مشتریان سازمانی بتوانند تاریخ انتقال را خودشان انتخاب کنند.
سیستم‌های اسمبل‌شده (Custom PC Builders): شما باید برای دریافت به‌روزرسانی سفت‌افزار (Firmware) به وب‌سایت سازنده مادربورد خود مراجعه کنید. بسته به سن رایانه، ممکن است سازنده دیگر به‌روزرسانی ارائه ندهد. در چنین مواردی، می‌توانید بوت امن را غیرفعال کنید، هرچند ممکن است یک «قفل قرمز ترسناک» در صفحه بوت مشاهده کنید.
کاربران لینوکس: تعداد زیادی از توزیع‌ها اکنون از بوت امن پشتیبانی می‌کنند. سیستم‌های Dual-boot (بوت دوگانه) عموماً توسط مایکروسافت پوشش داده می‌شوند. با این حال، کسانی که ویندوز را کاملاً پاک کرده‌اند، ممکن است به‌روزرسانی‌ها را به‌طور خودکار دریافت نکنند و باید با سازنده رایانه تماس بگیرند یا بوت امن را غیرفعال کنند.
سخت‌افزارهای تخصصی: کاربران سرورها و دستگاه‌های اینترنت اشیاء (IoT) ممکن است از به‌روزرسانی‌های خودکار بهره‌مند نشوند و برای نصب دستی به‌روزرسانی از وب‌سایت سازنده دستگاه اقدام کنند.

بررسی وضعیت سیستم

می‌توانید با استفاده از اپلیکیشن داخلی Windows Security بررسی کنید که آیا رایانه شما محافظت شده است یا خیر. به صفحه Device Security بروید و زیر بخش «Secure boot» را نگاه کنید. اگر پیام «all required certificates have been applied» را دیدید، سیستم شما به‌روز است.

برای کسانی که محیط خط فرمان را ترجیح می‌دهند، می‌توان این پرس‌وجوی خاص را در PowerShell با دسترسی Administrator اجرا کرد:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

اگر پاسخ «True» باشد، شما ایمن هستید. اگر پاسخ «False» باشد، به یک به‌روزرسانی سفت‌افزار از طرف سازنده دستگاه نیاز دارید.

هشدار درباره BitLocker

یک هشدار حیاتی برای کاربران پیشرفته: برای دور زدن این مشکل، به‌سادگی بوت امن را غیرفعال نکنید. غیرفعال کردن Secure Boot می‌تواند سناریوهایی را که به اعتماد بوت امن متکی هستند (مانند یکپارچگی کد در سطح بوت یا سخت‌سازی BitLocker) مختل کند. به‌طور خاص، غیرفعال کردن بوت امن ممکن است باعث شود بیت‌لاکر (BitLocker) برای دسترسی به دیسک‌های رمزگذاری شده، درخواست کلید بازیابی (Recovery Key) کند.

طبق گزارش ZDNET، پیش از هرگونه تغییر در تنظیمات بوت، باید مطمئن شوید که یک نسخه پشتیبان ذخیره شده از کلید بازیابی بیت‌لاکر دارید. اگر این کلید را گم کنید و بوت امن را غیرفعال کنید، ممکن است دسترسی شما به داده‌هایتان به‌طور کامل مسدود شود. این موضوع به‌ویژه برای کسانی که از بوت‌لودرهای شخص ثالث و Option ROMها استفاده می‌کنند صادق است، زیرا آن‌ها نیز اگر به اعتماد به‌روز شده نیاز داشته باشند، ممکن است تحت تأثیر قرار گیرند.

منابع پشتیبانی سازندگان

اگر به‌روزرسانی‌ها را به‌طور خودکار دریافت نمی‌کنید، صفحات وضعیت خاص سخت‌افزار خود را بررسی کنید:

Dell: سوالات متداول انتقال بوت امن (Secure Boot Transition FAQ)
HP: آماده‌سازی برای گواهینامه‌های جدید بوت امن ویندوز
Lenovo: راهنمای انقضای گواهینامه بوت امن (۲۰۱۱ تا ۲۰۲۳)
ASUS: راهنماهای اختصاصی برای رایانه‌ها و مادربوردها
Microsoft Surface: گواهینامه‌های بوت امن Surface

تحلیل: چرخه امنیتی بلندمدت

این رویداد واقعیت تلخ «بدهی فنی» (Technical Debt) در امنیت سخت‌افزار را برجسته می‌کند. طول عمر ۱۵ ساله یک گواهینامه سخاوتمندانه به نظر می‌رسد، اما یک پنجره آسیب‌پذیری گسترده و هماهنگ ایجاد می‌کند که در آن میلیون‌ها دستگاه در یک لحظه منقضی و آسیب‌پذیر می‌شوند. استانداردهای امنیتی هر سال به‌طور چشمگیری پیشرفت می‌کنند و بنابراین بازنشستگی گواهینامه‌های قدیمی برای جلوگیری از تبدیل شدن آن‌ها به نقطه ضعف، امری عادی است.

برای کاربر معمولی، این یک فرآیند پس‌زمینه و نامرئی است. اما برای مدیران سازمان‌ها، این یک وظیفه استقرار پیچیده است. آن‌ها طیف وسیعی از ابزارها برای نظارت و اجرای این به‌روزرسانی‌ها دارند که تمام جزئیات آن در «کتابچه راهنمای بوت امن برای کلاینت‌های ویندوز» (Secure Boot Playbook for Windows Client) شرح داده شده است.

انتقال از گواهینامه‌های ۲۰۱۱ به ۲۰۲۳ صرفاً یک وصله (Patch) ساده نیست؛ بلکه یک بازتعریف کلیدهای بنیادین در ریشه اعتماد سخت‌افزاری است. کسانی که نتیجه «False» در PowerShell را نادیده می‌گیرند، در واقع درِ ورودی را برای نسل بعدی روت‌کیت‌های سطح بوت باز می‌گذارند، زیرا دیگر اصلاحات امنیتی برای اجزای پیش‌از-بوت (Pre-boot) دریافت نخواهند کرد. بدون این به‌روزرسانی‌ها، دستگاه‌ها در معرض خطر اعتماد به بوت‌لودرهای جدیدی قرار می‌گیرند که می‌توانند هم قابلیت سرویس‌دهی و هم امنیت را به خطر بیندازند.

خوشبختانه، گواهینامه‌های جدید ۲۰۲۳ به‌گونه‌ای طراحی شده‌اند که ۱۵ سال دیگر دوام بیاورند و در سال ۲۰۳۸ منقضی شوند. یک استثنا، Windows UEFI CA 2023 است که در ژوئن ۲۰۳۵ منقضی می‌شود. این بدان معناست که ما باید در کمتر از یک دهه، این فرآیند را دوباره تکرار کنیم. این افق زمانی طولانی ضروری است زیرا هزینه و ریسک به‌روزرسانی سفت‌افزار UEFI به‌طور قابل توجهی بیشتر از به‌روزرسانی یک برنامه نرم‌افزاری استاندارد است.

اگر مجموعه‌ای از دستگاه‌های قدیمی یا یک ایستگاه کاری سفارشی (Custom-built) را مدیریت می‌کنید، فوراً صفحه وضعیت سازنده مادربورد خود را بررسی کنید تا مطمئن شوید از این انتقال عقب نمی‌مانید. برای کسانی که در رایانه‌های مدیریت نشده در خانه یا دفاتر کوچک با مشکل مواجه می‌شوند، صفحه FAQ رسمی مایکروسافت منبع اصلی است، اگرچه تماس مستقیم با سازندگان رایانه یا کانال‌های پشتیبانی تجاری برای سازمان‌ها، همچنان بهترین مسیر پیش رو است.

گام بعدی شما

وضعیت گواهینامه‌ها را از طریق دستور PowerShell بالا بررسی کنید.
اگر پاسخ False بود، به وب‌سایت سازنده مادربورد یا لپ‌تاپ خود برای دریافت آخرین نسخه Firmware مراجعه کنید.
حتماً یک کپی پشتیبان از کلید بازیابی BitLocker تهیه و در جایی امن ذخیره کنید.

اما داستان سخت‌افزاری این تحول حتی شگفت‌انگیزتر است؛ برای درک اینکه چگونه تراشه‌های جدید امنیت را در لایه‌های پایین‌تر پیاده می‌کنند، به تحلیل‌های ما درباره پردازنده‌های نسل جدید مراجعه کنید.

این گزارش با خط‌لولهٔ خودکار دات‌هوش از منابع معتبر جهانی تدوین و زیر نظر تحریریه منتشر شده است. روش کار ما

راهنمای فارسی هوش مصنوعی — با نگاه به ایران

اخبار روزانه، معرفی ابزارها و مدل‌ها، و آموزشِ کار با هوش مصنوعی؛ همیشه با این پرسش که از ایران چه چیزی کار می‌کند و چه چیزی نه.