Microsoft заменяет истекающие сертификаты Secure Boot в Windows 11 — все подробности и как обновить свой сертификат.

• Функция Secure Boot предотвращает проникновение вредоносных программ низкого уровня в процесс запуска Windows 11.
• Срок действия первоначальных сертификатов Microsoft Secure Boot, выданных в 2011 году, истекает в июне 2026 года, а новые сертификаты 2023 года продлевают защиту до 2053 года.
• Устройства, приобретенные в 2024 году и позже, скорее всего, уже имеют последние сертификаты. Другие устройства получают их постепенно через Центр обновления Windows.
• Вы можете проверить состояние своих сертификатов с помощью PowerShell, а также вручную обновить сертификаты, используя настройки реестра и запланированные задачи, если обновления не пришли автоматически.

Срок действия сертификата модуля безопасной загрузки вашего ПК истекает в июне 2026 года. Начиная с январского обновления безопасности 2026 года , Microsoft начала постепенное распространение нового сертификата, который позволит вашему компьютеру продолжать корректно загружаться и получать обновления безопасности.

В Windows 11 функция Secure Boot, доступная в микропрограмме Unified Extensible Firmware Interface (UEFI), предотвращает несанкционированные изменения важных системных файлов во время запуска. В результате гарантируется загрузка устройства только с использованием программного обеспечения, которому доверяет производитель.

Иными словами, функция Secure Boot помогает защитить ваши устройства от низкоуровневых вредоносных программ (таких как буткиты и руткиты), которые могут заразить процесс загрузки и получить контроль над вашим компьютером еще до загрузки операционной системы и антивирусного программного обеспечения.

Разберитесь в сертификатах безопасной загрузки.

В рамках этого процесса функция использует криптографические ключи (известные как центры сертификации (ЦС)) для проверки того, что модули прошивки получены из надежного источника, что помогает предотвратить запуск вредоносного ПО на ранних этапах запуска устройства.

Сертификаты Secure Boot всегда имели срок действия, поскольку они помогают гарантировать, что ваш компьютер будет постоянно получать обновления безопасности и правильно загружаться. Именно поэтому вам необходимо установить сертификаты 2023 года до того, как срок действия сертификатов 2011 года начнет истекать в июне 2026 года.

Если у вас устройство, приобретенное в 2024 году (или позже), скорее всего, последние сертификаты уже установлены. Однако для остальных компьютеров Microsoft в настоящее время занимается распространением новых сертификатов Secure Boot через Центр обновления Windows.

В обновлении безопасности «2026-01 Security Update (KB5074109) (26200.7623)» , выпущенном 13 января 2026 года, программный гигант отметил, что обновления теперь включают подмножество высоконадежных данных о целевых устройствах, которые идентифицируют устройства, имеющие право на автоматическое получение новых сертификатов Secure Boot. Устройства получат новые сертификаты только после демонстрации достаточного количества успешных сигналов обновления, что обеспечит безопасное и поэтапное развертывание.

Это означает, что вам не нужно предпринимать никаких ручных действий для обновления Secure Boot , кроме как разрешить системе продолжать получать обновления. По крайней мере, с настоящего момента и до выхода обновления безопасности в июне 2026 года.

Проверьте срок действия сертификата Secure Boot.

Поскольку вы не получите уведомление о том, что ваш компьютер теперь включает в себя новейшие центры сертификации, важно проверить, нуждается ли ваше устройство в обновлении.

В Windows 11 нет встроенной команды для отображения удобочитаемой даты истечения срока действия прошивки. Однако вы можете проверить наличие «обновленных» сертификатов 2023 года (которые заменяют сертификаты, срок действия которых истекает в 2026 году), выполнив следующие шаги:

Откройте PowerShell (от имени администратора) и выполните следующую команду:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Верно: У вас есть новый сертификат (действителен до 2053 года).
• Ложь: Вероятно, у вас до сих пор действителен сертификат 2011 года (срок действия которого истекает в 2026 году).

Проверка срока действия сертификата Secure Boot в PowerShell / Изображение: Мауро Хукулак

Практически все современные цепочки безопасной загрузки (Secure Boot) используют сертификаты Microsoft 2011 года, срок действия которых истекает в следующие даты :

• Корпорация Microsoft, KEK CA 2011 (24 июня 2026 г.). 
• Microsoft Corporation UEFI CA 2011 (27 июня 2026 г.).
• Microsoft Option ROM UEFI CA 2011 (27 июня 2026 г.).
• Microsoft Windows Production PCA 2011 (19 октября 2026 г.).

Для справки, вот что делает каждый сертификат:

• Сертификат KEK: Якорь доверия, позволяющий обновлять базы данных подписей Secure Boot (DB/DBX).
• Сертификаты UEFI CA: Доверяйте подписям загрузчиков и компонентов микропрограммного обеспечения (включая сторонние приложения EFI).
• Option ROM CA: Доверяет модулям Option ROM встроенного ПО.
• Microsoft Windows Production PCA 2011: Гарантирует, что загрузчик Windows и связанные с ним двоичные файлы будут считаться доверенными для микропрограммы в рамках безопасной загрузки.

Обновите сертификаты безопасной загрузки в Windows 11.

Если срок действия ваших сертификатов подходит к концу, Microsoft и производитель вашего компьютера (OEM) автоматически распространят обновления микропрограммы или обновления «DBX» через Центр обновления Windows или системные обновления для регистрации новых сертификатов CA 2023 года. Однако вы можете обновить Secure Boot вручную.

Внимание: Прежде чем продолжить, убедитесь, что у вас сохранен ключ восстановления BitLocker и что BIOS (UEFI) обновлен. Если прошивка вашего компьютера не поддерживает новые сертификаты, после обновления компьютер может не загрузиться. Также рекомендуется создать полную резервную копию вашего компьютера перед продолжением.

Откройте PowerShell (от имени администратора) и выполните следующую команду:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Эта команда устанавливает ключ реестра, который указывает операционной системе на необходимость развертывания всех необходимых сертификатов (включая загрузчик, подписанный PCA 2023).

Это значение 0x5944представляет собой код «полного устранения уязвимости», который включает все необходимые обновления сертификатов.

В Windows 11 есть встроенная задача, которая обрабатывает эти изменения сертификатов, и вы можете запустить её вручную, чтобы избежать ожидания в течение 12 часов, с помощью следующей команды:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell обновляет сертификат Secure Boot / Изображение: Мауро Хукулак

Для полного применения обновления обычно требуется две перезагрузки. После первой перезагрузки система обновляет менеджер загрузки. После второй она завершает регистрацию сертификата в базе данных UEFI.

После перезагрузки вы можете проверить, присутствует ли «UEFI CA 2023» в вашей базе данных, выполнив следующую команду PowerShell (от имени администратора):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Верно: Ваша система теперь защищена новыми сертификатами.
• Ложь: Если после нескольких перезагрузок ошибка остается ложной, возможно, прошивка материнской платы слишком устарела и не поддерживает новый формат сертификата. Проверьте веб-сайт производителя на наличие обновления BIOS, связанного с функцией «Безопасная загрузка».

Если BitLocker активен, возможно, потребуется временно отключить шифрованиеSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) до того, как прошивка сможет успешно записать новые ключи на устройство.