主要观点：Linux 用户启用 Secure Boot 的系统依赖于 9 月过期的微软密钥，之后微软不再用其签署用于引导内核的 shim 启动加载程序，虽有 2023 年可用的替换密钥，但很多系统未安装，硬件供应商的更新也不一定会发生。Mateus Rodrigues Costa 于 7 月 8 日在 Fedora devel 邮件列表提出此问题，Linux 世界需应对证书过期问题。
关键信息：

• 2011 年微软密钥用于 shim 且 9 月过期，之后安装媒体需更新 shim 或有自己的签名引导加载程序。
• 固件数据库中很多系统缺乏微软新密钥，供应商可提供更新，LVFS 和 fwupd 可用于安装所需固件。
• KEK 更新有一定成功率但仍可能失败，旧 BIOS 更易出现问题，且有已知 EFI 变量空间问题。
• 若供应商不提供更新，禁用 Secure Boot 可能是新安装的唯一选择，供应商更新可能存在错误。
• 不清楚固件实现是否会强制执行 2011 年密钥的过期日期，可能存在用旧 shim 继续工作的“解决方案”，但 shim 更新存在安全问题。
  重要细节：
• 微软 2023 年 UEFI 密钥用于第三方，与 Windows 更新中的密钥不同。
• LVFS 是供应商固件更新的仓库，fwupd 等工具可用于安装。
• 至少有一制造商丢失平台密钥的私有部分，KEK 更新过程全新可能出错。
• 邮件线程中有各种硬件模型的 Secure Boot 证书报告及 KEK 和数据库更新报告。