Utgångna certifikat kan leda till webbplatser som inte går att nå, mjukvara som inte går att köra och andra problem. Reddit-användaren Gaseousgalaxy uppmärksammar ett Microsoft-certifikat som går ut nästa år och kan leda till datorer som inte startar och andra problem, rapporterar Tech Power Up.
Certifikatet i fråga heter Microsoft UEFI CA 2011 och går ut i juni 2026. Det används av tredjepartstillverkare för att signera boot loader-mjukvara och EFI-program. Det gäller till exempel grafikkorts så kallade GOP (Graphics Output Protocol) som läses in av UEFI-mjukvaran innan den lämnar över datorn till operativsystemet.
Med Secure Boot aktiverat kontrollerar UEFI-mjukvaran de kryptografiska signaturerna på all sådan kod, och enligt Gaseousgalaxy finns ingen garanti att ett visst moderkort ignorerar ett utgått certifikat. Det kan leda till att datorn inte visar någon BIOS-skärm, att det inte går att köra installationsprogram för operativsystem eller i värsta fall att datorn fastnar i POST tills användaren byter till ett annat grafikkort.
Om Secure Boot är avstängt fungerar kortet som vanligt, och om Windows kör igång som det ska kommer grafikkortet aktiveras som vanligt där, så det handlar inte om något riktigt katastrofalt problem.
En permanent lösning är uppdateringar av antingen hela VBIOS på grafikkortet eller enbart GOP-komponenten, signerade med det uppdaterade certifikatet Microsoft UEFI CA 2023. En del grafikkort är redan uppdaterade, och en annan användare har kommenterat på Reddit med länkar till officiella verktyg från Nvidia som kan uppdatera enbart GOP. För en del äldre kort som inte stöds av dessa finns tredjepartsprogram som också kan uppdatera GOP.
Bland kommentarerna på Reddit ifrågasätter flera om det verkligen kommer hända att några datorer vägrar starta med ett grafikkort med utgånget certifikat. En användare länkar till ett blogginlägg från i somras skrivet av Matthew Garrett, som påstår att ”alla” moderkortstillverkare ignorerar utgångna certifikat och enbart blockerar kod signerad med svartlistade certifikat som har lagts till i en lista kallad dbx.
De verkliga bekymren uppstår alltså om Microsoft lägger till 2011-certifikatet i dbx-listan. Microsoft har ett supportdokument om detta och flera andra utgående certifikat, men nämner inte vad som händer med hårdvara signerad med de äldre certifikaten.
