Microsoft vervangt verlopen Secure Boot-certificaten in Windows 11 – Alle details en hoe u die van u kunt bijwerken.

  • Secure Boot voorkomt dat malware op een laag niveau het opstartproces van Windows 11 kan compromitteren.
  • De oorspronkelijke Secure Boot-certificaten van Microsoft uit 2011 verlopen in juni 2026, en de nieuwe certificaten uit 2023 verlengen de bescherming tot 2053.
  • Apparaten die in 2024 of later zijn aangeschaft, beschikken waarschijnlijk al over de meest recente certificaten. Andere apparaten ontvangen deze geleidelijk via Windows Update.
  • Je kunt de status van je certificaat controleren met PowerShell en certificaten handmatig bijwerken met behulp van registeraanpassingen en geplande taken als updates niet automatisch zijn binnengekomen.

Het certificaat voor de Secure Boot-module van uw pc verloopt in juni 2026. Vanaf de beveiligingsupdate van januari 2026 is Microsoft begonnen met de geleidelijke uitrol van een nieuw certificaat waarmee uw computer correct kan blijven opstarten en beveiligingsupdates kan blijven ontvangen.

In Windows 11 is Secure Boot een beveiligingsfunctie in de Unified Extensible Firmware Interface (UEFI)-firmware die voorkomt dat onbevoegden tijdens het opstarten kritieke systeembestanden wijzigen. Hierdoor wordt gegarandeerd dat een apparaat alleen opstart met software die door de fabrikant wordt vertrouwd.

Met andere woorden: Secure Boot helpt uw ​​apparaten te beschermen tegen malware op laag niveau (zoals bootkits en rootkits) die het opstartproces kunnen infecteren en de controle over uw computer kunnen overnemen voordat het besturingssysteem en uw antivirussoftware zelfs maar geladen zijn.

 

Inzicht in Secure Boot-certificaten

Als onderdeel van dit proces maakt de functie gebruik van cryptografische sleutels (bekend als certificeringsinstanties (CA's)) om te valideren dat firmwaremodules afkomstig zijn van een vertrouwde bron, waardoor wordt voorkomen dat malware wordt uitgevoerd tijdens de eerste fasen van het opstarten van het apparaat.

Secure Boot-certificaten hebben altijd een vervaldatum gehad, omdat ze ervoor zorgen dat uw computer beveiligingsupdates blijft ontvangen en correct opstart. Daarom moet u de certificaten van 2023 installeren voordat de CA's van 2011 in juni 2026 verlopen.

Als je een apparaat hebt dat in 2024 (of later) is aangeschaft, is de kans groot dat de nieuwste certificaten al zijn geïnstalleerd. Voor de overige computers is Microsoft momenteel bezig met het uitrollen van de nieuwe Secure Boot-certificaten via Windows Update.

In de beveiligingsupdate "2026-01 (KB5074109) (26200.7623)", die op 13 januari 2026 is uitgebracht, heeft de softwaregigant aangegeven dat updates nu een subset van zeer betrouwbare apparaattargetinggegevens bevatten. Deze gegevens identificeren apparaten die in aanmerking komen om automatisch nieuwe Secure Boot-certificaten te ontvangen. Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle updatesignalen hebben vertoond, wat een veilige en gefaseerde uitrol garandeert.

Dit betekent dat u geen handmatige stappen hoeft te ondernemen om Secure Boot bij te werken , behalve het systeem toestaan ​​updates te blijven ontvangen. Tenminste tot de beveiligingsupdate van juni 2026 beschikbaar komt.

Controleer de vervaldatum van het Secure Boot-certificaat.

Aangezien u geen melding ontvangt dat uw computer nu over de nieuwste certificeringsinstanties beschikt, is het belangrijk om te controleren of uw apparaat nog een update nodig heeft.

Windows 11 heeft geen ingebouwde opdracht om de vervaldatum van de firmware in leesbare tekst weer te geven. U kunt echter controleren of u de "bijgewerkte" certificaten van 2023 (die de certificaten vervangen die in 2026 verlopen) hebt met behulp van de volgende stappen:

Open PowerShell (als beheerder) en voer het volgende commando uit:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Klopt: U beschikt over het nieuwe certificaat (geldig tot 2053).
  • Onjuist: U gebruikt waarschijnlijk nog steeds het certificaat uit 2011 (dat in 2026 verloopt).

Microsoft vervangt verlopen Secure Boot-certificaten in Windows 11 – Alle details en hoe u die van u kunt bijwerken.

PowerShell-controle van de vervaldatum van het Secure Boot-certificaat / Afbeelding: Mauro Huculak

Vrijwel alle moderne Secure Boot-ketens maken gebruik van Microsoft-certificaten uit 2011, die de volgende vervaldatums hebben :

  • Microsoft Corporation KEK CA 2011 (24 juni 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 juni 2026).
  • Microsoft Option ROM UEFI CA 2011 (27 juni 2026).
  • Microsoft Windows Production PCA 2011 (19 oktober 2026).

Ter referentie, dit is wat elk certificaat inhoudt:

  • KEK-certificaat: Vertrouwensanker dat het mogelijk maakt om de Secure Boot-handtekeningdatabases (DB/DBX) bij te werken.
  • UEFI CA-certificaten: Vertrouw op de handtekeningen van bootloaders en firmwarecomponenten (inclusief EFI-applicaties van derden).
  • Option ROM CA: Vertrouwt op de Option ROM-modules van de firmware.
  • Microsoft Windows Production PCA 2011: Zorgt ervoor dat de Windows-bootloader en de bijbehorende binaire bestanden door de firmware worden vertrouwd onder Secure Boot.

Certificaten voor Secure Boot bijwerken in Windows 11

Als uw certificaten bijna verlopen, zullen Microsoft en uw computerfabrikant (OEM) automatisch firmware-updates of "DBX"-updates via Windows Update of systeemupdates pushen om de nieuwe CA-certificaten van 2023 te registreren. U kunt uw Secure Boot echter ook handmatig bijwerken.

Waarschuwing: Zorg ervoor dat u een BitLocker-herstelsleutel hebt opgeslagen en dat uw BIOS (UEFI) up-to-date is voordat u verdergaat. Als de firmware van uw computer de nieuwe certificaten niet ondersteunt, kan uw computer na de update mogelijk niet meer opstarten. Het is ook raadzaam om een ​​volledige back-up van uw computer te maken voordat u verdergaat.

Open PowerShell (als beheerder) en voer het volgende commando uit:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Met deze opdracht wordt de registersleutel ingesteld die het besturingssysteem instrueert om alle vereiste certificaten te implementeren (inclusief de PCA 2023-ondertekende opstartmanager).

De waarde 0x5944is de "volledige mitigatie"-code die alle relevante certificaatupdates mogelijk maakt.

Windows 11 heeft een ingebouwde taak die deze certificaatwijzigingen verwerkt. U kunt deze taak handmatig starten om te voorkomen dat u 12 uur moet wachten met de volgende opdracht:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft vervangt verlopen Secure Boot-certificaten in Windows 11 – Alle details en hoe u die van u kunt bijwerken.

PowerShell werkt het Secure Boot-certificaat bij / Afbeelding: Mauro Huculak

De update vereist doorgaans twee herstarts om volledig te worden toegepast. Na de eerste herstart werkt het systeem de bootmanager bij. Na de tweede wordt de certificaatregistratie in de UEFI-database voltooid.

Na het opnieuw opstarten kunt u controleren of "UEFI CA 2023" nu in uw database aanwezig is door de volgende PowerShell -opdracht (als beheerder) uit te voeren:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Klopt: Uw systeem is nu beveiligd met de nieuwe certificaten.
  • Onjuist: Als het na meerdere herstarts nog steeds onjuist is, is de firmware van het moederbord mogelijk te oud om het nieuwe certificaatformaat te accepteren. Controleer de website van de fabrikant voor een BIOS-update met betrekking tot "Secure Boot".

Als BitLocker actief is, moet u mogelijk de versleuteling tijdelijk uitschakelen ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) voordat de firmware de nieuwe sleutels succesvol naar het apparaat kan schrijven.

Laat een reactie achter

Hoe maak je snel een opstartbare USB-stick voor macOS op Windows 11?

Hoe maak je snel een opstartbare USB-stick voor macOS op Windows 11?

Hieronder volgen de stappen om een ​​opstartbare macOS USB-stick (Ventura) met GPT-partitieondersteuning te maken op Windows 10 en 11 om je Mac te redden.

Hoe deel je bestanden met andere pcs in een thuisnetwerk op Windows 11?

Hoe deel je bestanden met andere pcs in een thuisnetwerk op Windows 11?

Om bestanden te delen in een Windows 11-netwerk, kunt u Delen of OneDrive gebruiken, of een map delen met of zonder wachtwoord. Zo doet u dat.

Download deze op Windows 11 geïnspireerde remake van de klassieke Windows 10 Hero-achtergrond.

Download deze op Windows 11 geïnspireerde remake van de klassieke Windows 10 Hero-achtergrond.

Download de Windows 10 Hero-achtergrondafbeeldingen om ze als bureaubladachtergrond in te stellen op Windows 11.

Hoe schakel ik het slepen van de bovenkant van het scherm in Snap-lay-outs uit in Windows 11?

Hoe schakel ik het slepen van de bovenkant van het scherm in Snap-lay-outs uit in Windows 11?

Om de Snap-indelingen bovenaan het scherm in Windows 11 uit te schakelen, ga je naar Instellingen > Systeem > Multitasking en schakel je deze Snap-vensterinstelling uit.

Windows 11 vereenvoudigt eindelijk de toegang tot functies voor Insiders en maakt ViveTool overbodig.

Windows 11 vereenvoudigt eindelijk de toegang tot functies voor Insiders en maakt ViveTool overbodig.

Microsoft is van plan de CFR-limieten in het Windows Insider-programma te verlagen, waardoor gebruikers meer controle krijgen over functies en ViveTool niet langer nodig is.

Hoe installeer je de ChatGPT-app op Windows 11 en 10?

Hoe installeer je de ChatGPT-app op Windows 11 en 10?

Om ChatGPT als app te installeren op Windows 11 (10), selecteer je in het Edge-menu 'Apps' en klik je op 'Installeren', of gebruik je in het Chrome-menu 'Snelkoppeling maken'.

Hoe schakel je variabele vernieuwingsfrequentie (VRR) in voor games op Windows 11?

Hoe schakel je variabele vernieuwingsfrequentie (VRR) in voor games op Windows 11?

Om VRR in Windows 11 in te schakelen, ga je naar Instellingen > Systeem > Beeldscherm > Grafische instellingen > Geavanceerde grafische instellingen en schakel je Variabele vernieuwingsfrequentie in.

Hoe u de instellingen in Microsoft Edge terugzet naar de standaardwaarden.

Hoe u de instellingen in Microsoft Edge terugzet naar de standaardwaarden.

Om de instellingen van Microsoft Edge te resetten, opent u de browserinstellingen, klikt u op 'Instellingen resetten', vervolgens op 'Instellingen herstellen naar de standaardwaarden' en tot slot op 'Resetten'.

Hoe download ik het ISO-bestand van Windows 11 24H2?

Hoe download ik het ISO-bestand van Windows 11 24H2?

Om het ISO-bestand van Windows 11 24H2 te downloaden, ga je naar de Microsoft-pagina, kies je de optie 'Image', selecteer je de taal en klik je op '64-bits downloaden'.

Hoe voorkom je dat je moet betalen voor updates na het einde van de ondersteuning voor Windows 10 in 2025?

Hoe voorkom je dat je moet betalen voor updates na het einde van de ondersteuning voor Windows 10 in 2025?

Om de extra kosten van $30 voor beveiligingsupdates voor het blijven gebruiken van Windows 10 te vermijden, is het het beste om te upgraden naar Windows 11, zowel op ondersteunde als niet-ondersteunde pc's.