Microsoft, Windows 11de süresi dolan Güvenli Önyükleme sertifikalarını değiştiriyor – Tüm detaylar ve sertifikanızı nasıl güncelleyeceğiniz.

• Güvenli Önyükleme, düşük seviyeli kötü amaçlı yazılımların Windows 11 başlatma sürecini tehlikeye atmasını önler.
• Microsoft'un 2011 tarihli orijinal Güvenli Önyükleme sertifikalarının geçerlilik süresi Haziran 2026'da sona eriyor ve yeni 2023 sertifikaları korumayı 2053'e kadar uzatıyor.
• 2024 ve sonrasında satın alınan cihazlar büyük olasılıkla en yeni sertifikalara zaten sahip. Diğerleri ise Windows Update aracılığıyla bunları kademeli olarak alıyor.
• Sertifika durumunuzu PowerShell kullanarak kontrol edebilir ve güncellemeler otomatik olarak gelmediyse, Kayıt Defteri ayarları ve zamanlanmış görevler kullanarak sertifikaları manuel olarak güncelleyebilirsiniz.

Bilgisayarınızın Güvenli Önyükleme modülü sertifikası Haziran 2026'da sona eriyor. Ocak 2026 Güvenlik Güncellemesi ile başlayarak , Microsoft, bilgisayarınızın doğru şekilde önyükleme yapmaya ve güvenlik güncellemelerini almaya devam etmesini sağlayacak yeni bir sertifikanın kademeli olarak dağıtımına başladı.

Windows 11'de Güvenli Önyükleme, başlatma sırasında kritik sistem dosyalarında yetkisiz değişiklikleri önleyen Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) ürün yazılımında bulunan bir güvenlik özelliğidir. Sonuç olarak, bir cihazın yalnızca üretici tarafından güvenilen yazılımlar kullanılarak başlatılmasını sağlar.

Başka bir deyişle, Güvenli Önyükleme, önyükleme işlemine bulaşabilen ve işletim sistemi ve antivirüs yazılımınız yüklenmeden önce bilgisayarınızın kontrolünü ele geçirebilen düşük seviyeli kötü amaçlı yazılımlara (örneğin bootkit'ler ve rootkit'ler) karşı cihazlarınızı korumaya yardımcı olur.

Güvenli Önyükleme sertifikalarını anlayın

Bu sürecin bir parçası olarak, özellik, aygıt yazılımı modüllerinin güvenilir bir kaynaktan geldiğini doğrulamak için kriptografik anahtarlar (sertifika yetkilileri (CA'lar) olarak bilinir) kullanır ve bu da cihazın başlatılmasının ilk aşamalarında kötü amaçlı yazılımların çalışmasını önlemeye yardımcı olur.

Güvenli Önyükleme sertifikalarının her zaman bir son kullanma tarihi olmuştur, çünkü bu sertifikalar bilgisayarınızın güvenlik güncellemelerini almaya devam etmesini ve doğru şekilde önyüklenmesini sağlamaya yardımcı olur. Bu nedenle, 2011 CA'larının Haziran 2026'da sona ermeye başlamasından önce 2023 sertifikalarını yüklemeniz gerekir.

2024 (veya daha sonraki bir yıl) tarihinde satın alınmış bir cihazınız varsa, büyük olasılıkla en yeni sertifikalar zaten yüklüdür. Ancak, diğer bilgisayarlar için Microsoft, Windows Update aracılığıyla yeni Güvenli Önyükleme sertifikalarını dağıtma sürecindedir.

Yazılım devi, 13 Ocak 2026'da yayınlanan "2026-01 Güvenlik Güncellemesi (KB5074109) (26200.7623)" nde , güncellemelerin artık yeni Güvenli Önyükleme sertifikalarını otomatik olarak almaya uygun cihazları belirleyen yüksek güvenilirlik düzeyine sahip cihaz hedefleme verilerinin bir alt kümesini içerdiğini belirtti. Cihazlar, yeterli sayıda başarılı güncelleme sinyali gösterdikten sonra yeni sertifikaları alacak ve böylece güvenli ve aşamalı bir dağıtım sağlanacaktır.

Bu, sistemin güncellemeleri almaya devam etmesine izin vermenin dışında, Güvenli Önyüklemeyi güncellemek için herhangi bir manuel adım atmanıza gerek olmadığı anlamına gelir . En azından Haziran 2026 Güvenlik Güncellemesi yayınlanana kadar durum böyle.

Güvenli Önyükleme sertifikasının geçerlilik tarihini kontrol edin.

Bilgisayarınızın en yeni sertifika yetkililerini içerdiğine dair bir bildirim almayacağınız için, cihazınızın hala bir güncellemeye ihtiyacı olup olmadığını kontrol etmeniz önemlidir.

Windows 11'de, insan tarafından okunabilir şekilde aygıt yazılımı son kullanma tarihini görüntülemek için yerleşik bir komut bulunmamaktadır. Ancak, şu adımları kullanarak "güncellenmiş" 2023 sertifikalarına (2026'da süresi dolacak olanların yerini alan) sahip olup olmadığınızı kontrol edebilirsiniz:

PowerShell'i (yönetici olarak) açın ve şunu çalıştırın:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Doğru: Yeni sertifikaya sahipsiniz (2053 yılına kadar geçerli).
• Yanlış: Büyük olasılıkla hala 2011 tarihli sertifikaya sahipsiniz (sertifika 2026'da sona eriyor).

PowerShell ile Güvenli Önyükleme sertifikasının süresinin dolup dolmadığını kontrol etme / Resim: Mauro Huculak

Günümüzdeki neredeyse tüm Güvenli Önyükleme zincirleri, aşağıdaki son kullanma tarihlerine sahip Microsoft'un 2011 sertifikalarına dayanmaktadır :

• Microsoft Corporation KEK CA 2011 (24 Haziran 2026). 
• Microsoft Corporation UEFI CA 2011 (27 Haziran 2026).
• Microsoft Option ROM UEFI CA 2011 (27 Haziran 2026).
• Microsoft Windows Üretim PCA 2011 (19 Ekim 2026).

Bilgi olması açısından, her bir sertifikanın işlevi şöyledir:

• KEK sertifikası: Güvenli Önyükleme imza veritabanlarının (DB/DBX) güncellenmesine olanak sağlayan güven çapası.
• UEFI CA sertifikaları: Önyükleyicilerin ve aygıt yazılımı bileşenlerinin (üçüncü taraf EFI uygulamaları dahil) imzalarına güvenin.
• Option ROM CA: Firmware option ROM modüllerine güvenir.
• Microsoft Windows Production PCA 2011: Güvenli Önyükleme altında, Windows önyükleyicisinin ve ilgili ikili dosyaların aygıt yazılımı tarafından güvenilir olarak kabul edilmesini sağlar.

Windows 11'de Güvenli Önyükleme sertifikalarını güncelleyin

Sertifikalarınızın süresi dolmak üzereyse, Microsoft ve bilgisayar üreticiniz (OEM), yeni 2023 CA sertifikalarını kaydetmek için Windows Update veya sistem güncellemeleri aracılığıyla otomatik olarak aygıt yazılımı güncellemeleri veya "DBX" güncellemeleri gönderecektir. Ancak, Güvenli Önyüklemeyi manuel olarak da güncelleyebilirsiniz.

Uyarı: Devam etmeden önce, kaydedilmiş bir BitLocker kurtarma anahtarınız olduğundan ve BIOS'unuzun (UEFI) güncel olduğundan emin olun. Bilgisayarınızın bellenimi yeni sertifikaları desteklemiyorsa, güncellemeden sonra bilgisayarınız başlatılamayabilir. Ayrıca, devam etmeden önce bilgisayarınızın tam bir yedeğini oluşturmanız önerilir.

PowerShell'i (yönetici olarak) açın ve şunu çalıştırın:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Bu komut, işletim sistemine gerekli tüm sertifikaları (PCA 2023 imzalı önyükleme yöneticisi de dahil olmak üzere) dağıtması talimatını veren kayıt defteri anahtarını ayarlar.

Bu değer 0x5944, ilgili tüm sertifika güncellemelerini sağlayan "tam risk azaltma" kodudur.

Windows 11'de bu sertifika değişikliklerini işleyen yerleşik bir görev bulunur ve aşağıdaki komutla 12 saat beklemenizi önlemek için bu görevi manuel olarak tetikleyebilirsiniz:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell, Güvenli Önyükleme sertifikasını güncelliyor / Resim: Mauro Huculak

Güncellemenin tamamen uygulanması genellikle iki yeniden başlatma gerektirir. İlk yeniden başlatmanın ardından sistem önyükleme yöneticisini günceller. İkinci yeniden başlatmanın ardından ise UEFI veritabanındaki sertifika kaydını tamamlar.

Yeniden başlatmaların ardından, bu PowerShell komutunu (yönetici olarak) çalıştırarak veritabanınızda "UEFI CA 2023"ün mevcut olup olmadığını doğrulayabilirsiniz :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Doğru: Sisteminiz artık yeni sertifikalarla güvence altına alındı.
• Yanlış: Birkaç yeniden başlatmanın ardından yanlış değer devam ederse, anakart bellenimi yeni sertifika biçimini kabul edemeyecek kadar eski olabilir. Üreticinizin web sitesinde "Güvenli Önyükleme" ile ilgili bir BIOS güncellemesi olup olmadığını kontrol edin.

BitLocker etkinse, aygıt yazılımının yeni anahtarları cihaza başarıyla yazabilmesi için şifrelemeyi geçici olarak devre dışı bırakmanız gerekebilir ( ).Suspend-BitLocker -MountPoint "C:" -RebootCount 2