Microsoft înlocuiește certificatele Secure Boot care expiră pe Windows 11 – Toate detaliile și cum să le actualizați

• Secure Boot previne ca programele malware de nivel scăzut să compromită procesul de pornire din Windows 11.
• Certificatele Secure Boot originale Microsoft din 2011 expiră în iunie 2026, iar noile certificate din 2023 extind protecția până în 2053.
• Dispozitivele achiziționate în 2024 și ulterior au probabil deja cele mai recente certificate. Altele le primesc treptat prin Windows Update.
• Puteți verifica starea certificatului folosind PowerShell și puteți actualiza manual certificatele folosind modificările Registry și activitățile programate dacă actualizările nu au sosit automat.

Certificatul pentru modulul Secure Boot al PC-ului expiră în iunie 2026. Începând cu actualizarea de securitate din ianuarie 2026 , Microsoft a început o implementare treptată a unui nou certificat care va permite computerului să continue să pornească corect și să primească actualizări de securitate.

Pe Windows 11 , Secure Boot este o caracteristică de securitate disponibilă în firmware-ul Unified Extensible Firmware Interface (UEFI) care previne modificările neautorizate ale fișierelor de sistem critice în timpul pornirii. Prin urmare, se asigură că un dispozitiv pornește utilizând doar software de încredere al producătorului.

Cu alte cuvinte, Secure Boot ajută la protejarea dispozitivelor împotriva programelor malware de nivel scăzut (cum ar fi bootkit-urile și rootkit-urile) care pot infecta procesul de bootare și pot obține controlul asupra computerului înainte ca sistemul de operare și software-ul antivirus să se încarce.

Înțelegerea certificatelor de pornire securizată

Ca parte a procesului, funcția utilizează chei criptografice (cunoscute sub numele de autorități de certificare (CA)) pentru a valida faptul că modulele de firmware provin dintr-o sursă de încredere, ajutând la prevenirea rulării programelor malware în primele etape ale pornirii dispozitivului.

Acum, certificatele Secure Boot au avut întotdeauna date de expirare, deoarece acestea ajută la asigurarea că computerul continuă să primească actualizări de securitate și să pornească corect. De aceea, trebuie să instalați certificatele din 2023 înainte ca certificatele CA din 2011 să înceapă să expire, în iunie 2026.

Dacă aveți un dispozitiv achiziționat în 2024 (sau ulterior), este posibil ca cele mai recente certificate să fie deja instalate. Cu toate acestea, pentru restul computerelor, Microsoft este acum în proces de implementare a noilor certificate Secure Boot prin Windows Update.

În „Actualizarea de securitate 2026-01 (KB5074109) (26200.7623)” lansată pe 13 ianuarie 2026, gigantul software a menționat că actualizările includ acum un subset de date de direcționare a dispozitivelor cu înaltă încredere, care identifică dispozitivele eligibile să primească automat noi certificate Secure Boot. Dispozitivele vor primi noile certificate numai după ce demonstrează suficiente semnale de actualizare reușită, asigurând o implementare sigură și etapizată.

Asta înseamnă că nu trebuie să parcurgeți niciun pas manual pentru a actualiza Secure Boot , în afară de a permite sistemului să continue să primească actualizări. Cel puțin de acum până când actualizarea de securitate din iunie 2026 va deveni disponibilă.

Verificați data de expirare a certificatului Secure Boot

Întrucât nu veți primi o notificare că respectivul computer include acum cele mai recente autorități de certificare, este important să verificați dacă dispozitivul mai are nevoie de o actualizare.

Windows 11 nu are o comandă nativă pentru a afișa data de expirare a firmware-ului lizibil de către om. Cu toate acestea, puteți verifica dacă aveți certificatele „actualizate” din 2023 (care le înlocuiesc pe cele care expiră în 2026) urmând acești pași:

Deschideți PowerShell (admin) și executați:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Adevărat: Aveți noul certificat (valabil până în 2053).
• Fals: Probabil că sunteți încă pe certificatul din 2011 (expiră în 2026).

PowerShell verifică expirarea certificatului Secure Boot / Imagine: Mauro Huculak

Aproape toate lanțurile moderne de Secure Boot se bazează pe certificatele Microsoft din 2011, care au următoarele date de expirare :

• Microsoft Corporation KEK CA 2011 (24 iunie 2026). 
• Microsoft Corporation UEFI CA 2011 (27 iunie 2026).
• Memorie ROM opțională Microsoft UEFI CA 2011 (27 iunie 2026).
• Microsoft Windows Production PCA 2011 (19 octombrie 2026).

Pentru referință, iată ce face fiecare certificat:

• Certificat KEK: Ancoră de încredere care permite actualizarea bazelor de date cu semnături Secure Boot (DB/DBX).
• Certificate UEFI CA: Aveți încredere în semnăturile încărcătoarelor de boot și ale componentelor firmware (inclusiv aplicațiile EFI terțe).
• CA ROM opțional: Are încredere în modulele ROM opționale de firmware.
• Microsoft Windows Production PCA 2011: Asigură faptul că bootloader-ul Windows și fișierele binare aferente sunt de încredere pentru firmware în cadrul programului Secure Boot.

Actualizarea certificatelor Secure Boot pe Windows 11

Dacă certificatele dvs. se apropie de expirare, Microsoft și producătorul computerului (OEM) vor trimite automat actualizări de firmware sau actualizări „DBX” prin Windows Update sau actualizări de sistem pentru a înscrie noile certificate CA din 2023. Cu toate acestea, puteți actualiza manual Secure Boot.

Avertisment: Înainte de a continua, asigurați-vă că aveți o cheie de recuperare BitLocker salvată și că BIOS-ul (UEFI) este actualizat. Dacă firmware-ul computerului nu acceptă noile certificate, este posibil ca computerul să nu pornească după actualizare. De asemenea, este recomandat să creați o copie de rezervă completă a computerului înainte de a continua.

Deschideți PowerShell (admin) și executați:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Această comandă setează cheia de registry care instruiește sistemul de operare să implementeze toate certificatele necesare (inclusiv managerul de boot semnat PCA 2023).

Valoarea 0x5944este codul de „atenuare completă” care activează toate actualizările relevante ale certificatelor.

Windows 11 are o sarcină încorporată care procesează aceste modificări de certificat și o puteți declanșa manual pentru a evita așteptarea a 12 ore cu următoarea comandă:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell actualizează certificatul Secure Boot / Imagine: Mauro Huculak

Actualizarea necesită de obicei două reporniri pentru a se aplica complet. După prima repornire, sistemul actualizează managerul de bootare. După a doua, finalizează înscrierea certificatului în baza de date UEFI.

După repornire, puteți verifica dacă „UEFI CA 2023” este acum prezent în baza de date rulând această comandă PowerShell (ca administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Adevărat: Sistemul dumneavoastră este acum securizat cu noile certificate.
• Fals: Dacă rămâne fals după mai multe reporniri, firmware-ul plăcii de bază poate fi prea vechi pentru a accepta noul format de certificat. Verificați site-ul web al producătorului pentru o actualizare a BIOS-ului legată de „Secure Boot”.

Dacă BitLocker este activ, este posibil să fie nevoie să dezactivați temporar criptareaSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) înainte ca firmware-ul să poată scrie cu succes noile chei pe dispozitiv.