Microsoft'un eski Güvenli Önyükleme imzalama sertifikası süresinin dolmasına yaklaşıyor ve bu durum, geniş Linux ekosistemini etkileyen önemli bir geçiş sürecini başlatıyor.
2011 yılından beri standart PC'lerde Güvenli Önyükleme zincirinde yaygın olarak kullanılan Microsoft UEFI Sertifika Otoritesi (CA) Haziran ayında sona erecek. Bu nedenle Linux dağıtımları, shim imzalama yolunu yeni 2023 CA'ya taşımak zorunda kalacak.
Bu durum Linux ekosistemi için büyük önem taşıyor, çünkü birçok dağıtım, Güvenli Önyükleme özellikli makinelerde Linux'u başlatmak için Microsoft tarafından imzalanmış bir önyükleyiciye (shim) bağımlı. Güvenli Önyükleme, yalnızca güvenilen yazılımların başlangıçta çalışmasını sağlayan bir donanım yazılımı özelliğidir.
Kısacası: Bilgisayar açıldığında, donanım yazılımı ilk önyükleme bileşeninin güvenilen bir anahtar tarafından imzalandığını doğrular. Geçerliyse önyükleme devam eder; değilse donanım yazılımı onu engeller. Windows için bu süreç sorunsuzdur çünkü PC donanım yazılımı varsayılan olarak Microsoft'un anahtarlarına güvenir. Ancak çoğu Linux dağıtımı, tüketici ve kurumsal PC'lerdeki donanım yazılımı tarafından doğrudan güvenilmez.
Bu sorunu çözmek için birçok dağıtım, Microsoft tarafından imzalanmış küçük bir birinci aşama UEFI önyükleyici olan shim'i kullanır. Donanım yazılımı shim'e güvenir ve shim, daha sonra GRUB ve çekirdek gibi sonraki Linux önyükleme bileşenlerini dağıtımın kendi anahtarlarını kullanarak doğrular. Mevcut sistemlerin çoğunun eski sertifikanın süresi dolduktan sonra da önyüklemeye devam etmesi bekleniyor. Önemli olan, sürenin dolmasının eski anahtarı donanım yazılımından kaldırmaması veya halihazırda güvenilen önyükleyicileri iptal etmemesidir. Bu nedenle, bugün Güvenli Önyükleme etkinken önyükleme yapan bir Linux sistemi, yalnızca sertifikanın süresinin dolması nedeniyle başarısız olmamalıdır. Asıl risk geçiş döneminde yatmaktadır. Yeni Linux kurulum görüntüleri, güncellenmiş shim paketleri, kurtarma medyaları, eski donanımlar, çift önyüklemeli sistemler ve güncel olmayan Güvenli Önyükleme veritabanlarına sahip makineler, daha yeni 2023 Microsoft UEFI CA'sını tanımazlarsa sorun yaşayabilir. Eski 2011 anahtarının erken kaldırılması da önyükleme sorunlarına neden olabilir. Bu kritiktir çünkü Güvenli Önyükleme bir güven zincirine bağlıdır. Her aşama bir sonrakini tanımalı ve ona güvenmelidir. Donanım yazılımı, shim'i imzalamak için kullanılan anahtara güvenmezse, shim başlamaz ve Linux önyükleyicisi ile çekirdeği Güvenli Önyükleme sürecinden geçemez. Kullanıcılar için temel tavsiye, işletim sistemini, shim paketlerini, donanım yazılımını ve Güvenli Önyükleme veritabanı güncellemelerini dağıtımlar tarafından sağlandığı şekilde güncel tutmaktır. Unutmayın, bir satıcı veya dağıtım tarafından yönlendirilmedikçe Güvenli Önyükleme anahtarlarını manuel olarak değiştirmekten kaçının.