在Windows 10正式终止支持后,微软再次为仍在使用旧操作系统的用户带来了一项关键更新要求。2026年6月,三组用于系统安全验证的数字凭证将陆续到期,届时未完成更新的设备将面临安全机制失效的风险。

这三组即将过期的凭证分别为KEK CA 2011、UEFI CA 2011和Windows Production PCA 2011,均于2011年签发,将在2026年6月失去效力。受此影响的系统涵盖自2012年起发布的多个版本,包括Windows 10、Windows 11以及Windows Server 2025、2022、2019、2016、2012和2012 R2,无论是物理设备还是虚拟环境均在范围内。所有LTSC版本也需进行相应更新,唯一例外是2025年推出的Copilot PC,其出厂时已搭载更新后的凭证体系。

一旦凭证过期,设备的Secure Boot功能将无法正常运作,导致系统不能再安装官方发布的安全补丁,也无法运行2026年6月以后使用新凭证签名的第三方驱动程序和软件,从而严重影响系统的安全性和兼容性。

值得注意的是,替代旧凭证的新证书早在2023年就已由微软签发,相关变更通知也于2025年7月对外发布,但正式的更新推送直到2026年1月才随Windows 10的累积更新KB5073724推出。这一时间安排使得未加入扩展安全更新计划(ESU)的非LTSC版Windows 10用户无法自动获取凭证更新。即便手动下载该更新包,安装过程也会提示必须先完成ESU注册方可继续。

相比之下,Windows 11用户则无需额外操作,系统将通过常规的累积更新自动接收并部署新的安全凭证,确保平稳过渡至新证书体系。