Microsoft înlocuiește certificatele Secure Boot care expiră pe Windows 11 – Toate detaliile și cum să le actualizați

  • Secure Boot previne ca programele malware de nivel scăzut să compromită procesul de pornire din Windows 11.
  • Certificatele Secure Boot originale Microsoft din 2011 expiră în iunie 2026, iar noile certificate din 2023 extind protecția până în 2053.
  • Dispozitivele achiziționate în 2024 și ulterior au probabil deja cele mai recente certificate. Altele le primesc treptat prin Windows Update.
  • Puteți verifica starea certificatului folosind PowerShell și puteți actualiza manual certificatele folosind modificările Registry și activitățile programate dacă actualizările nu au sosit automat.

Certificatul pentru modulul Secure Boot al PC-ului expiră în iunie 2026. Începând cu actualizarea de securitate din ianuarie 2026 , Microsoft a început o implementare treptată a unui nou certificat care va permite computerului să continue să pornească corect și să primească actualizări de securitate.

Pe Windows 11 , Secure Boot este o caracteristică de securitate disponibilă în firmware-ul Unified Extensible Firmware Interface (UEFI) care previne modificările neautorizate ale fișierelor de sistem critice în timpul pornirii. Prin urmare, se asigură că un dispozitiv pornește utilizând doar software de încredere al producătorului.

Cu alte cuvinte, Secure Boot ajută la protejarea dispozitivelor împotriva programelor malware de nivel scăzut (cum ar fi bootkit-urile și rootkit-urile) care pot infecta procesul de bootare și pot obține controlul asupra computerului înainte ca sistemul de operare și software-ul antivirus să se încarce.

 

Înțelegerea certificatelor de pornire securizată

Ca parte a procesului, funcția utilizează chei criptografice (cunoscute sub numele de autorități de certificare (CA)) pentru a valida faptul că modulele de firmware provin dintr-o sursă de încredere, ajutând la prevenirea rulării programelor malware în primele etape ale pornirii dispozitivului.

Acum, certificatele Secure Boot au avut întotdeauna date de expirare, deoarece acestea ajută la asigurarea că computerul continuă să primească actualizări de securitate și să pornească corect. De aceea, trebuie să instalați certificatele din 2023 înainte ca certificatele CA din 2011 să înceapă să expire, în iunie 2026.

Dacă aveți un dispozitiv achiziționat în 2024 (sau ulterior), este posibil ca cele mai recente certificate să fie deja instalate. Cu toate acestea, pentru restul computerelor, Microsoft este acum în proces de implementare a noilor certificate Secure Boot prin Windows Update.

În „Actualizarea de securitate 2026-01 (KB5074109) (26200.7623)” lansată pe 13 ianuarie 2026, gigantul software a menționat că actualizările includ acum un subset de date de direcționare a dispozitivelor cu înaltă încredere, care identifică dispozitivele eligibile să primească automat noi certificate Secure Boot. Dispozitivele vor primi noile certificate numai după ce demonstrează suficiente semnale de actualizare reușită, asigurând o implementare sigură și etapizată.

Asta înseamnă că nu trebuie să parcurgeți niciun pas manual pentru a actualiza Secure Boot , în afară de a permite sistemului să continue să primească actualizări. Cel puțin de acum până când actualizarea de securitate din iunie 2026 va deveni disponibilă.

Verificați data de expirare a certificatului Secure Boot

Întrucât nu veți primi o notificare că respectivul computer include acum cele mai recente autorități de certificare, este important să verificați dacă dispozitivul mai are nevoie de o actualizare.

Windows 11 nu are o comandă nativă pentru a afișa data de expirare a firmware-ului lizibil de către om. Cu toate acestea, puteți verifica dacă aveți certificatele „actualizate” din 2023 (care le înlocuiesc pe cele care expiră în 2026) urmând acești pași:

Deschideți PowerShell (admin) și executați:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Adevărat: Aveți noul certificat (valabil până în 2053).
  • Fals: Probabil că sunteți încă pe certificatul din 2011 (expiră în 2026).

Microsoft înlocuiește certificatele Secure Boot care expiră pe Windows 11 – Toate detaliile și cum să le actualizați

PowerShell verifică expirarea certificatului Secure Boot / Imagine: Mauro Huculak

Aproape toate lanțurile moderne de Secure Boot se bazează pe certificatele Microsoft din 2011, care au următoarele date de expirare :

  • Microsoft Corporation KEK CA 2011 (24 iunie 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 iunie 2026).
  • Memorie ROM opțională Microsoft UEFI CA 2011 (27 iunie 2026).
  • Microsoft Windows Production PCA 2011 (19 octombrie 2026).

Pentru referință, iată ce face fiecare certificat:

  • Certificat KEK: Ancoră de încredere care permite actualizarea bazelor de date cu semnături Secure Boot (DB/DBX).
  • Certificate UEFI CA: Aveți încredere în semnăturile încărcătoarelor de boot și ale componentelor firmware (inclusiv aplicațiile EFI terțe).
  • CA ROM opțional: Are încredere în modulele ROM opționale de firmware.
  • Microsoft Windows Production PCA 2011: Asigură faptul că bootloader-ul Windows și fișierele binare aferente sunt de încredere pentru firmware în cadrul programului Secure Boot.

Actualizarea certificatelor Secure Boot pe Windows 11

Dacă certificatele dvs. se apropie de expirare, Microsoft și producătorul computerului (OEM) vor trimite automat actualizări de firmware sau actualizări „DBX” prin Windows Update sau actualizări de sistem pentru a înscrie noile certificate CA din 2023. Cu toate acestea, puteți actualiza manual Secure Boot.

Avertisment: Înainte de a continua, asigurați-vă că aveți o cheie de recuperare BitLocker salvată și că BIOS-ul (UEFI) este actualizat. Dacă firmware-ul computerului nu acceptă noile certificate, este posibil ca computerul să nu pornească după actualizare. De asemenea, este recomandat să creați o copie de rezervă completă a computerului înainte de a continua.

Deschideți PowerShell (admin) și executați:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Această comandă setează cheia de registry care instruiește sistemul de operare să implementeze toate certificatele necesare (inclusiv managerul de boot semnat PCA 2023).

Valoarea 0x5944este codul de „atenuare completă” care activează toate actualizările relevante ale certificatelor.

Windows 11 are o sarcină încorporată care procesează aceste modificări de certificat și o puteți declanșa manual pentru a evita așteptarea a 12 ore cu următoarea comandă:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft înlocuiește certificatele Secure Boot care expiră pe Windows 11 – Toate detaliile și cum să le actualizați

PowerShell actualizează certificatul Secure Boot / Imagine: Mauro Huculak

Actualizarea necesită de obicei două reporniri pentru a se aplica complet. După prima repornire, sistemul actualizează managerul de bootare. După a doua, finalizează înscrierea certificatului în baza de date UEFI.

După repornire, puteți verifica dacă „UEFI CA 2023” este acum prezent în baza de date rulând această comandă PowerShell (ca administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Adevărat: Sistemul dumneavoastră este acum securizat cu noile certificate.
  • Fals: Dacă rămâne fals după mai multe reporniri, firmware-ul plăcii de bază poate fi prea vechi pentru a accepta noul format de certificat. Verificați site-ul web al producătorului pentru o actualizare a BIOS-ului legată de „Secure Boot”.

Dacă BitLocker este activ, este posibil să fie nevoie să dezactivați temporar criptareaSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) înainte ca firmware-ul să poată scrie cu succes noile chei pe dispozitiv.

Lasă un comentariu

Cum se descarcă fișierul ISO Windows 11 24H2

Cum se descarcă fișierul ISO Windows 11 24H2

Pentru a descărca fișierul ISO Windows 11 24H2, deschideți pagina Microsoft, alegeți opțiunea de imagine, selectați limba și faceți clic pe Descărcare pe 64 de biți.

Cum să eviți plata pentru actualizări după sfârșitul ciclului de viață al Windows 10 în 2025

Cum să eviți plata pentru actualizări după sfârșitul ciclului de viață al Windows 10 în 2025

Pentru a evita costul suplimentar de 30 USD pentru actualizările de securitate pentru a continua să utilizați Windows 10, cel mai bine este să faceți upgrade la Windows 11 pe PC-urile compatibile și necompatibile.

Microsoft spune că „ceva important” va veni în Windows 11

Microsoft spune că „ceva important” va veni în Windows 11

Microsoft va anunța joi ceva important pentru Windows 11, sugerând că experiența vocală cu inteligența artificială va ajunge și pe sistemul de operare.

Cum se creează un stick USB bootabil cu Windows 11 pentru hardware neacceptat

Cum se creează un stick USB bootabil cu Windows 11 pentru hardware neacceptat

Instalați Windows 11 pe hardware necompatibil? Aflați pașii pentru a crea un USB bootabil cu Rufus sau Ventoy pentru a omite restricțiile TPM, Secure Boot.

Cum să forțezi actualizarea la Windows 11 25H2 de la versiunea 24H2

Cum să forțezi actualizarea la Windows 11 25H2 de la versiunea 24H2

Pentru a face upgrade de la Windows 10 24H2 la 25H2, utilizați opțiunea Descărcare și instalare din Windows Update sau instalați manual actualizarea KB5054156.

Versiunea 26300.7674 (KB5074170) pentru Windows 11 se concentrează pe remedierea erorilor, nu pe funcționalități (dezvoltatori)

Versiunea 26300.7674 (KB5074170) pentru Windows 11 se concentrează pe remedierea erorilor, nu pe funcționalități (dezvoltatori)

(KB5074170) Versiunea 26300.7674 a Windows 11 este lansată pentru utilizatorii Insider, cu remedieri pentru File Explorer, Start, Căutare, probleme grafice și erori cunoscute.

Cum se activează BitLocker pe Windows 11

Cum se activează BitLocker pe Windows 11

Pentru a activa BitLocker în Windows 11, deschideți setările de stocare, setările BitLocker și activați funcția. Unitățile amovibile utilizează BitLocker To Go.

Cum să găsești cheia de recuperare BitLocker în Windows 11

Cum să găsești cheia de recuperare BitLocker în Windows 11

Pentru a găsi cheia de recuperare BitLocker a PC-ului dvs. pe Windows 11 (sau 10), deschideți contul Microsoft online și confirmați recuperarea pe pagina Dispozitive.

Cum se creează un stick USB bootabil pentru Windows 11 (sau 10) din macOS

Cum se creează un stick USB bootabil pentru Windows 11 (sau 10) din macOS

Este surprinzător de complicat să creezi un program de instalare USB pentru Windows 11 (sau 10) din macOS, dar nu este imposibil. Iată cum se face.

Asistența pentru Microsoft Edge se va încheia în octombrie 2028 pentru Windows 10

Asistența pentru Microsoft Edge se va încheia în octombrie 2028 pentru Windows 10

Microsoft Edge pe Windows 10 va continua să primească actualizări cel puțin până în octombrie 2028, mult după încheierea oficială a suportului pentru sistemul de operare în 2025.