При записи образов последних версий Windows 11 с помощью Rufus в окне настройки установки пользователи могут увидеть новый пункт «Use Windows CA 2023 signed bootloaders в Rufus (requires a compatible PC)».
В этом материале подробно о том, что означает эта отметка, нужно ли её включать и дополнительная информация на тему, которая может быть полезной.
Обновление сертификатов безопасной загрузки и Rufus
В течение последних лет для безопасной загрузки большинства ОС использовались загрузчики, подписанные с использованием сертификатов Microsoft Windows Production PCA 2011.
Однако, этот сертификат истекает в июле 2026 года и новые установки Windows будут использовать загрузчики, подписанные сертификатом Windows CA 2023.
В контексте Windows 11/10 произойдёт следующее:
- В ходе обновлений с помощью встроенных механизмов ОС старый сертификат PCA 2011 будет добавлен в список DBX (запрещённые сертификаты) в UEFI и не сможет использоваться для безопасной загрузки.
- В список DB (Authorized Signature Database, разрешённые сертификаты безопасной загрузки) будет добавлен (если в настоящее время отсутствует) новый сертификат Windows CA 2023. Также он может быть добавлен производителем в ходе обновлений БИОС/UEFI или изначально присутствовать на новых материнских платах и ноутбуках.
- Новые установки Windows 11 будут использовать загрузчики, подписанные новым сертификатом: в образах и в самой установленной ОС. При загрузке со старых флешек после добавления старого сертификата в список запрещённых при включенной опции Secure Boot (безопасная загрузка) вы получите сообщение об ошибке «Secure Boot Violation» или аналогичной.
Подводя итог, Майкрософт целенаправленно переводит всех пользователей на загрузчики, подписанные новым сертификатом. На момент публикации статьи старые всё так же работают и могут быть добавлены в список DBX (перестать работать) либо самой Windows, либо после очередного обновления БИОС/UEFI.
Опция «Use Windows CA 2023 signed bootloaders» в Rufus
Параметр «Use Windows CA 2023 signed bootloaders» при создании загрузочной флешки в Rufus позволяет принудительно включить использование загрузчиков, подписанных новыми сертификатами безопасной загрузки для загрузочной флешки и самой установки Windows 11 версии 25H2 (на начало 2026 года).
Вы можете включить эту опцию, чтобы не полагаться на механизмы обновления Windows 11. Однако вы не сможете установить систему, если в списке DB в UEFI отсутствуют сертификаты Windows CA 2023.
Чтобы проверить, имеется ли новый сертификат в базе UEFI на вашем компьютере вы можете использовать команду PowerShell: нажмите правой кнопкой мыши по кнопке «Пуск»
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"
Если команда выдаст true (и установка планируется именно на этом компьютере), вы можете включить рассматриваемую опцию и всё будет работать исправно.
Если же вы увидите false — новые сертификаты отсутствуют в DB и использование загрузчиков, подписанных с их помощью, сообщит об ошибке при включенной опции Secure Boot. В таком случае вы можете использовать следующие подходы:
- Не устанавливать отметку «Use Windows CA 2023 signed bootloaders», установить Windows 11 с загрузчиками, подписанными старыми сертификатами безопасной загрузки и дождаться, когда Майкрософт в ходе обновления сама обновит и DB и загрузчики.
- Форсировать добавление Windows UEFI CA 2023 в UEFI, о чём подробнее в этой инструкции, убедиться, что они были добавлены и установить нужную отметку уже после этого.
Примечание: если использование флешки предполагается на многих компьютерах, конфигурации которых вы заранее не знаете, указанную опцию лучше пока не включать. Если же включили, но столкнулись с Secure Boot Violation, придётся отключить безопасную загрузку в UEFI.
Надеюсь, мне удалось прояснить ситуацию и назначение рассматриваемого параметра в Rufus. Если же у вас остаются вопросы, вы можете задать их в комментариях ниже — я постараюсь помочь.