Ask Microsoft Anything: Secure Boot - May 18

https://www.youtube.com/watch?v=lcrRANfSAZg

Summary

TL;DR — Microsoft is addressing concerns about Secure Boot updates, clarifying that while OEM firmware updates for DB defaults are a good sign, they don't guarantee compatibility with Microsoft's OS-initiated Secure Boot updates. A firmware update is not strictly required to receive updated certificates through Windows, though it's recommended. The expiration of the KEK key in June will prevent new updates to DBX, impacting the ability to revoke vulnerable boot applications.

Key points

• Updating OEM firmware for DB defaults doesn't automatically confirm compatibility with Microsoft's Secure Boot updates.

• Firmware updates are recommended but not mandatory for receiving new certificates via Windows.

• The KEK key expiration in June will stop new DBX updates, hindering the revocation of vulnerable boot applications.

• Certificate expiration dates do not invalidate signatures made during their validity period; devices will continue to trust them.

• Microsoft is cautiously proceeding with updates, using data to ensure safety and aiming for widespread updates before the June deadline.

• Enterprises can proactively plan and prepare for these changes, especially regarding bootable media.

Takeaway — While firmware updates are beneficial, prioritizing the installation of Secure Boot certificate updates is crucial for maintaining security, even if firmware updates are not yet available.

Résumé / Summary (fr)

En bref — Microsoft aborde les préoccupations concernant les mises à jour de Secure Boot, précisant que si les mises à jour du firmware OEM pour les valeurs par défaut de DB sont un bon signe, elles ne garantissent pas la compatibilité avec les mises à jour de Secure Boot initiées par le système d'exploitation de Microsoft. Une mise à jour du firmware n'est pas strictement nécessaire pour recevoir les certificats mis à jour via Windows, bien qu'elle soit recommandée. L'expiration de la clé KEK en juin empêchera les nouvelles mises à jour de DBX, impactant la capacité à révoquer les applications de démarrage vulnérables.

Points clés

• La mise à jour du firmware OEM pour les valeurs par défaut de DB ne confirme pas automatiquement la compatibilité avec les mises à jour de Secure Boot de Microsoft.

• Les mises à jour du firmware sont recommandées mais pas obligatoires pour recevoir de nouveaux certificats via Windows.

• L'expiration de la clé KEK en juin arrêtera les nouvelles mises à jour de DBX, entravant la révocation des applications de démarrage vulnérables.

• Les dates d'expiration des certificats n'invalident pas les signatures faites pendant leur période de validité ; les appareils continueront à leur faire confiance.

• Microsoft procède avec prudence aux mises à jour, utilisant les données pour assurer la sécurité et visant des mises à jour généralisées avant la date limite de juin.

• Les entreprises peuvent planifier et se préparer de manière proactive à ces changements, en particulier en ce qui concerne les supports de démarrage.

À retenir — Bien que les mises à jour du firmware soient bénéfiques, il est crucial de prioriser l'installation des mises à jour des certificats Secure Boot pour maintenir la sécurité, même si les mises à jour du firmware ne sont pas encore disponibles.