Nem a kernelt iratták alá az ms-sel, hanem a shimjüket, a SecureBoot ugyanis a bootloadereket tölti be (ha alá vannak írva). Az ms ugyanis közölte, hogy GPLv3-as license-ű bootloader nem kaphat ms certification-t, így a GRUB-ot is kizárták. (Ha valaki, hát én nem vagyok GPL faggot, de ez nettó pofátlanság volt.) Ezért a különféle projektek ezt úgy oldották meg, hogy van egy first stage loaderjük, ami nem GPLv3-as, így van aláírása és ez tölti be a GRUB-ot. Hogy a microsoft indoklása és ez az egész balfaszkodás a certification-ökkel mekkora bullcrap, azt tessék elolvasni a Pene által adott linken; a Rufus loader írója tökéletesen összefoglalta a dolgot. Az meg, hogy maga a SecureBoot mennyire nem jó semmire, az most pláne kiderült a BootHole kapcsán.