BR-Linux.org

A expiração da chave UEFI de 2011 da Microsoft, agora em junho, exige que distribuições Linux migrem suas assinaturas de inicialização.

Tende a não ser nenhum fim de mundo: há credenciais mais recentes (de 2023) à disposição, e não há nada de oculto ou misterioso¹ nesse processo: a Microsoft assina com uma chave própria o shim – que é o software da Red Hat que serve de intermediário entre os PCs com Secure Boot, feitos para o mundo Windows (e que só dão boot em sistemas assinados por chaves criptográficas que eles reconheçam, como as da Microsoft) –, e as distribuições usam esse shim, assinado, como intermediário do seu processo de boot, garantindo que o firmware do PC tope transferir o controle para elas durante o boot (e confiando que esse processo validará também os componentes posteriores, como o próprio kernel).

A transição para sistemas de boot assinados com chaves modernas é essencial para preservar essa cadeia de confiança que permite ao seu hardware dar boot com o sistema operacional que você escolher, mas esse processo tende a ser transparente para os usuários – ainda mais que não há expectativa de uma interrupção imediata, nas máquinas que hoje estão funcionando, dos boots feitos com a assinatura anterior.

Ou seja: sistemas já instalados tendem a continuar funcionando, e PCs futuros possivelmente rejeitarão as chaves desatualizadas, o que é algo para você ter em mente quando encontrar dificuldades inesperadas com o boot a partir de mídias antigas (ou geradas a partir de imagens antigas), discos de recuperação arquivados, ou versões históricas de distribuições.