Érdekes egyébként, ezt találtam. (root-ként kell futtatni, OpenSuse alatt próbáltam):
zypper install efitools
efi-readvar -v db -o db.esl
sig-list-to-certs db.esl db
Keletkezett 6 db .der fájl: db-0.der, db-1.der, stb..., ezt openssl-lel megnézve, ezek lehetnek a régi tanúsítványok:
openssl x509 -in db-0.der -inform DER -text -noout
...
Validity
Not Before: Jun 27 21:22:45 2011 GMT
Not After : Jun 27 21:32:45 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
...
openssl x509 -in db-1.der -inform DER -text -noout
...
Validity
Not Before: Oct 19 18:41:42 2011 GMT
Not After : Oct 19 18:51:42 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
...
Ezek pedig az újak, ezek szerint már telepítve vannak:
openssl x509 -in db-4.der -inform DER -text -noout
...
Issuer: C=US, O=Microsoft Corporation, CN=Microsoft RSA Devices Root CA 2021
Validity
Not Before: Jun 13 19:21:47 2023 GMT
Not After : Jun 13 19:31:47 2038 GMT
Subject: C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
...
openssl x509 -in db-5.der -inform DER -text -noout
...
Issuer: C=US, O=Microsoft Corporation, CN=Microsoft RSA Devices Root CA 2021
Validity
Not Before: Oct 26 19:02:20 2023 GMT
Not After : Oct 26 19:12:20 2038 GMT
Subject: C=US, O=Microsoft Corporation, CN=Microsoft Option ROM UEFI CA 2023
...
(a db-2.der, db-3.der gigabyte-os volt)
Windowsom nincs, az biztos nem tette fel. BIOS-t frissítettem korábban.
Szerk: még annyit néztem meg, hogy az OpenSuse még a 2011-es tanúsítványt használja. Csak elgondolkodtam hogy lesz az átállás, hogy zökkenőmentes legyen, de gondolom több aláírást használnak majd egy ideig, a 2011-est, és a 2023-ast is.
# sbverify --list /boot/efi/EFI/systemd/shim.efi
signature 1
image signature issuers:
- /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
image signature certificates:
- subject: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows UEFI Driver Publisher
issuer: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
- subject: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
issuer: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation Third Party Marketplace Root
signature 2
image signature issuers:
- /CN=openSUSE Secure Boot CA/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org
image signature certificates:
- subject: /CN=openSUSE Secure Boot Signkey/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org
issuer: /CN=openSUSE Secure Boot CA/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org
És azt várom kíváncsian, hogy olyan irányt vesznek-e a dolgok, hogy a Microsoft ismét megpróbál X darab gépet nyugdíjba küldeni. Az nagy károkozás lenne a részükről szerintem. Ez az eset jutott eszembe a chromecast-okkal: https://hup.hu/node/187564 ahol szerencsére a Google megoldotta a kérdést. - Reméljük ilyen nem lesz, hanem mindenkinek biztosítva lesz az új tanúsítvány.