Auteur Sujet: Expiration des clés Secure Boot de 2011: Les impacts pour Linux  (Lu 997 fois)

0 Membres et 2 Invités sur ce sujet

Paul

  • Abonné Free fibre
  • *
  • Messages: 4 898
  • FTTH 8 Gb/s sur Châlons-en-Champagne (51)
    • Mon site
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 992
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
[...]La mise à jour des certificats est décomposée en 3 mises à jour, dès que la seconde était faite, j'avais bien le support des certificats Microsoft 2023.

C'est très simple, il suffit de cliquer pour mettre à jour et de redémarrer le PC.

[...]


Je ne sais pas comment cela se passe pour les utilisateurs de Windows 11.

[...]

Sous Windows 11 (et très probablement Windows 10), c'est très simple et en fond de tâche.
2 cas possibles:
- très majoritaire (pas mon cas), cela se fait lors d'un Patch Tuesday, en mise à jour cumulative, selon la carte mère (pas le même mois pour tout le monde). Le redémarrage est de toute façon obligatoire, mais ne concerne pas cette partie, car tout Windows reste ok sans ça.
- cas particuliers pris en charge par Windows Update (mon cas avec une carte mère Asus): c'est une mise à jour automatique de sécurité en fond de tâche, juste pour ça, et ne demande pas de redémarrer. Le KB est même mal nommé, et j'ai découvert le nouveau certificat seulement en observant l'observateur d’événements de Windows.

NB: le redémarrage n'était pas obligatoire, mais l'installation du nouveau certificat s'installait vraiment qu'avec un redémarrage. Le redémarrage devient peut être obligatoire pour tout les cas à partir de maintenant, si jamais il y aura de nouveau cas... ou des retardataires. On a en effet dépasser les 1eres dates pour les certificats de 2011.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 992
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.
C'est normal.
Ce n'est pas seulement un PC ou un OS qui est certifié, mais également les composants et les périphériques de démarrage.

Microsoft dit (contrairement à Reddit...):
- ne jamais enlever les certificats de 2011 si c'était dans la carte mère
- et côté OEM, aucune interdiction de Microsoft sur les certificats de 2011, mais chaque OEM gère son planning dessus pour assurer une transition douce (genre les PC neufs avec encore du Nvidia RTX 3000 pour du pas cher ou du destockage)

Edit-correction : OEM et fabricants de carte-mères.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 3 020
  • Chambly (60)
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #15 le: Aujourd'hui à 02:26:39 »
Note pour mon PC HP Pavilion Desktop TP01-3xxx (plus récent, avec un Core i7-12700), l'actualiseur de micrologiciel d'Ubuntu ne me propose jamais rien, alors qu'il propose régulièrement des mises à jour sur les PC Dell.[/size]
C'est une interface graphique au dessus de fwupd, qui propose les firmwares mis sur LVFS par les fabricants, ainsi que certaines mises à jour plus génériques (comme ici les certificats).
Même chez ceux qui publient des mises à jour (Dell, Lenovo, HP, ...), tous les modèles ne sont pas nécessairement couverts et parfois les dernières versions ne sont pas disponibles.