2026年6月にshimの証明書が切れる

Secure bootの証明書は

• Platform Key (PK)
• Key Exchange Key (KEK)
• db/dbx

がある。

shim のファーストステージUEFIブートローダーを署名するとき使われている証明書の有効期限が9月で切れるらしい。

• Linux and Secure Boot certificate expiration

$ efivar -l | grep -i 'db$'
d719b2cb-3d3a-4596-a3bc-dad00e67656f-db
d9bee56e-75dc-49d9-b4d7-b534210f637a-certdb

$ file /sys/firmware/efi/efivars/db-d719b2cb-3d3a-4596-a3bc-dad00e67656f
/sys/firmware/efi/efivars/db-d719b2cb-3d3a-4596-a3bc-dad00e67656f: EFI Signature List, X509, EFI variable 39, total size: 1300 bytes

efivar -p -n d719b2cb-3d3a-4596-a3bc-dad00e67656f-db