要注意：LinuxのSecure Boot証明書が2025年に期限切れ！今のうちに知っておくべきこと

Linuxユーザーの皆さん、注意が必要です。2025年にLinuxのSecure Boot用証明書が期限を迎えます。これに伴い、特定の条件下でシステム起動に支障が出る可能性があるため、今のうちに詳細を確認し、必要に応じた対策を検討しておくことを強くお勧めします。

アップデートの手順が抜けてたから、自分で簡易的なドキュメントを作ってみたよ。[1] バリデーションの手順で何か見落としてたら教えて。6台のマシンで試したけど全部Linuxだったんだ。BSDでは未検証。アーカイブ [2] も貼っておくよ（ボットのブロック設定が厳しすぎた場合のために）。[追記] 念のため、この [3] スレッドも参考にして。一部の人はshimの「回避策（work around）」をいじってるみたいだけど、個人的には不必要に複雑で壊れやすそうに見える。

KEKの更新は約98%、dbの更新は約99%の成功率で進んでいる

fwupdのオプトイン解析がこういう場面で役に立ってるのを見て嬉しくなるね。短期間で各ベンダーと連絡を取り合わなきゃいけなかった担当者たちには、同情するよ。

このニュースのパターンを2〜3見たけど、Linux初心者向けの「自分が何かする必要があるか確認する方法」を説明したガイドが見当たらない。

MicroSlopが（おそらくNSA公認の鍵を使って）shimに署名する信頼できるパーティであるべき、という説得力のある理由はどこにあるの？Secure BootのPKIに関して、LetsEncryptみたいな小規模で非営利な団体が存在しないのはなぜ？セキュリティ対策として有意義に改善されているという説得力のある根拠も、正直よくわからない。

みんながもっとパニックにならないのが不思議だよ。今後数ヶ月のうちに、Linuxマシンが大量に再起動できなくなる事態が容易に想像できる。この問題はVMにも影響するしね。ProxmoxがハイパーバイザーのGUIに小さな警告を出して、ボタン一つでVMのBIOSを修正できるようにしてくれたのはありがたかった。

Secure Bootは何年も前から根本的に壊れていて、ほとんどのコンシューマー向けマシンでまともなセキュリティを提供できていないよね。

あえて言わせてもらうけど、これがMicrosoftを「信頼」した結果だよ。

正直、LinuxにSecure Bootなんて必要ない。それが必要なのはM/Sの言いなりでデュアルブートしてる時だけだ。Linux単体で使ってるなら、さっさとSecure Bootを無効化して終わりでいいんだよ。

前回Archをインストールした時、Secure Bootをセットアップモードにして自分の鍵を登録したよ。他人の鍵を使うなんて、どうかしてると思う。

（記事公開）当時議論されていた内容：

Linux and Secure Boot certificate expiration - https://news.ycombinator.com/item?id=44601045 - 2025年7月 (コメント265件)

Red Hatによると、既存のシステムはそのまま起動し続けるはずとのこと。おそらくタイムスタンプが付与されてカウンター署名されているか、日付自体が無視されるからだろうね。

Secure Boot関連の議論の99%は、話の内容を全く理解していないくせに、血相を変えて激怒している人たちによってかき消されているよ。

それに、これについては1年以上前から準備期間があったんだから、今になってLinuxディストリビューションが告知し始めたんだとしたら、それは彼らの責任だね。

更新を適用するために十分な空き領域を確保できるよう、利用可能なefivar領域の「断片化解消」をトリガーする

次の段落で「よく知られていること」みたいに書かれてるけど、これが問題になり得るなんて思いもしなかったよ。