Microsoft a de nouveau répondu aux questions des administrateurs sur l’échéance Secure Boot du 24 juin. Derrière le calendrier officiel, plusieurs cas restent sensibles, notamment les machines privées de cette protection et les infrastructures de démarrage réseau.
Quelques précisions techniques, si je peux me permettre, sur certains passages qui mériteraient d’être nuancés.
Sur la « date limite du 24 juin » : aucun PC ne se bloque à cette date. Le firmware valide les signatures au moment où elles ont été apposées (signing time), pas au runtime. Tout ce qui a été signé avant l’expiration du KEK CA 2011 continue donc d’être validé après. La vraie échéance pour les admins, ce sera la révocation DBX future de la PCA 2011, qui arrivera avec un préavis de six mois et qui n’est pas encore annoncée. ce ne sera surement pas avant mi-2027. Et peut être même que ce ne sera pas imposé par Microsoft. (choix des IT).
Sur les PC récents qui refuseraient des médias 2011 : les OEM continuent de mettre la PCA 2011 et l’UEFI CA 2011 dans le Default store des nouvelles machines, justement pour rester compatibles avec les médias d’installation, les environnements WinPE et les outils de déploiement encore signés à l’ancienne. Ces certificats ne vont pas disparaître tant que Microsoft ne les a pas révoqués via DBX. Le cas inverse évoqué dans l’article existe en théorie, mais sur le terrain c’est vraiment l’exception.
Les IT vont attendre que TOUS les poste disposent des certificats 2023 pour commencer à migrer les média de boot / d’installation / de recovery ou de diag.
Enfin, sur « sans nouvelle KEK, pas de futures mises à jour DBX » : la KEK, c’est la clé qui autorise les modifications des bases DB et DBX. Microsoft va signer ses futures mises à jour DBX avec le KEK CA 2023. Sur une machine qui n’a que le KEK CA 2011 enrôlé, le firmware refusera ces mises à jour parce qu’il n’a pas de KEK capable d’en valider la signature, et ce indépendamment de toute notion d’expiration. C’est donc bien l’enrôlement préalable du KEK CA 2023 qui conditionne la capacité à recevoir les futures révocations.
1 « J'aime »
Merci pour tes infos…
Nonobstant, si la DBX peut être mise à jour sur n’importe quel PC avec UEFI, la KEK, elle, ne peut être mise à jour que par une mise à jour du BIOS/EFI du constructeur. Et si le PC est trop ancien pour recevoir une mise à jour de BIOS/EFI, la KEK ne sera jamais mise à jour. Testé avec un portable Dell Vostro 15 3568 de 2017 qui sert d’ordi d’exercice basique : la DBX est bien à jour, y compris les révocations, mais la KEK non. Et il n’y a rien à faire, ce PC n’est plus mis à jour par Dell depuis pas mal de temps.
Une manière de continuer tranquillement le p’tit business de l’obsolescence programmée que seuls quelques uns savent contourner…
Hmmm étrange car LE certificat important c’est le Windows UEFI CA 2023 de la DB Active. Pour information il est signé avec le KEK CA2011 - oui oui.
C’est pour cette raison que c’est le 1er à arriver dans les stores de Certificats.
Immédiatement après (2ème étape) ce sont les certificats additionels qui arrivent, puis enfin le Microsoft Corporation KEK 2K CA 2023.
C’est lui qui signera les PROCHAIN certificat dans DB ou DBX
Et l’ensemble de ces certificats (DANS LES BASE active de l’UEFI) snt apporté par la tache de MAJ Microsoft.
Dans le Bios ce ne sont que des copies (une sauvegarde de stockage des certificats). Cette copie peut également être utilisé si ont execute un recovery des clés dans le Bios. Mais ce n’est PS la méthode préconisée par Microsoft. (on peut tout àfait insytaller ces certificats sur une machine avec un très vieux Bios.)
Si c’est uniquement le KEK 2023 qui manque c’est lié :
- Soit à l’OEM qui n’ a pas signé le KEK2023 générique fourni par Microsoft. (Ce KEK signé est ensuite renvoyé par les OEM à Microsoft - Microsoft qui distribura ce KEK si l’empreinte du poste (PK) correspond - existe dans la database Microsoft) probabalement votre cas , car ici un très vieux modèle.
- Soit à Microsoft qui ne présente pas à l’ordinateur le bon KEK.
En général dans ce cas on a l’erreur 1795 dans Event Viewer (gestionnaire d’evenements)