Обновление прошивки: похоже, что Shim не запускает fwupdx64.efi при включенной безопасной загрузке

Я попытался обновить прошивку на ThinkPad L14 с помощью fwupdmgr на Fedora 34. Все казалось в порядке, пока программа не попросила меня перезагрузиться, что я и сделал, но Fedora загрузилась вместо обновления прошивки. Я попытался вручную изменить порядок загрузки, удалив неиспользуемую загрузочную запись Windows с помощью efibootmgr и различных комбинаций настроек BIOS о том, когда и как разрешать обновления прошивки, но ничего не сработало. Наконец, я обнаружил, что при отключении Secure Boot запускается обновление, и обновление успешно завершается. После этого я смог снова включить Secure Boot, и моя ОС загрузилась нормально. Кроме того, fwupdmgr сообщает, что обновление было успешно установлено.

Ну, похоже, моя проблема решена, но я хотел бы знать, почему решение сработало. Я думал, что загрузчик shim загрузит не только ОС, но и обновление, и поскольку shim подписан Microsoft, не должно быть никаких проблем с включением Secure Boot.

Если для поиска решения нужна дополнительная информация, пожалуйста, сообщите мне об этом в комментарии, и я добавлю ее. Я не очень разбираюсь в обновлениях прошивки и поэтому вряд ли могу сказать, что для этого потребуется.