セキュアブートの証明書の話

2026-03-20
自分の理解確認用

• KEK：更新を許可する鍵（管理者）
• DB ：起動していい名簿（ホワイトリスト）
• DBX：絶対ダメな名簿（ブラックリスト）
• Win：Windowsのブートローダー

この順で更新が行われる。

1. 新しいKEKに更新
2. 新しいDBに更新
3. 新しいブートローダーに更新
4. 新しいDBXに更新

WindowsUpdateでWin・DBXに更新が入る。まだ失効日は来ない。

WindowsUpdateでKEKの更新をしていなければ、KEKの期限切れでKEK自身を更新できなくなった。
KEKが期限切れのままなので、Win・DB・DBXの更新もできなくなった。

※なお、KEKが無効でも、UEFIファームウェア更新等によりDBXだけが更新される可能性は残る。

KEKが期限切れになっているので、Win・DB・DBXを新しいものに更新できない。だからWindowsは起動しない。

UEFIのファームウエア側でDB・DBXが更新される可能性がある。
Winが更新できていないので古い失効日を見てしまいWindowsの起動を停止してしまう。