Как да проверите дали вашият компютър има актуализираните сертификати за Secure Boot в Windows 11, 10

• Сертификатите за Secure Boot на Microsoft от 2011 г. изтичат през юни 2026 г.
• Новите сертификати на Windows UEFI CA 2023 удължават защитата до 2053 г.
• Устройствата, закупени през 2024 г. или по-късно, обикновено вече включват актуализираните сертификати.
• По-старите компютри получават актуализацията постепенно чрез Windows Update.
• Можете да проверите състоянието на сертификата, като използвате команда PowerShell.

На някои устройства с Windows 11 и Windows 10, сертификатите за Secure Boot, издадени за първи път през 2011 г., са планирани да изтекат през юни 2026 г. Въпреки че Microsoft активно ги заменя със сертификати от 2023 г., трябва да проверите дали системата ви вече е преминала към по-новите сертификати, за да предотвратите прекъсвания при стартиране или сигурност.

Secure Boot е защитна функция, базирана на фърмуер, в Unified Extensible Firmware Interface (UEFI), която гарантира, че устройството зарежда само софтуер, цифрово подписан и надежден от производителя. Тя защитава процеса на стартиране, като предотвратява неоторизирани промени в критични компоненти за зареждане, преди операционната система да се зареди.

За да постигне това, Secure Boot използва криптографски ключове, известни като сертифициращи органи (CA), за валидиране на фърмуерни модули и буутлоудъри. Тези сертификати създават верига на доверие, която блокира изпълнението на зловреден код по време на ранно стартиране.

Както всички цифрови сертификати, сертификатите за сигурно зареждане (Secure Boot CAs) имат определени дати на изтичане. Сертификатите от 2011 г., чиято валидност изтича през юни 2026 г., означават, че системите трябва да имат инсталирани по-новите сертификати от 2023 г., за да продължат да получават актуализации и да се зареждат нормално без грешки при проверката на доверието.

Тъй като цифровите сертификати имат дати на изтичане, системите трябва да инсталират сертификатите от 2023 г., преди сертификатите от 2011 г. да изтекат през юни 2026 г., за да продължат да се зареждат и да получават актуализации правилно.

Устройствата, закупени през 2024 г. или по-късно, обикновено вече включват новите сертификати. За по-стар хардуер Microsoft го разпространява чрез Windows Update.

Microsoft вече идентифицира и автоматично актуализира сертификатите за Secure Boot чрез редовни системни актуализации, така че не се изискват ръчни действия освен поддържането на активиран Windows Update и инсталирането на месечни актуализации за сигурност преди крайния срок юни 2026 г. Винаги е добра идея обаче да проверите и разберете дали вашето устройство има съответните сертификати.

В това ръководство ще опиша стъпките за проверка дали сертификатите за Secure Boot 2023 вече са инсталирани на вашия компютър.

• Проверете дали вашият компютър има сертификати за Secure Boot 2023, използвайки PowerShell
• Проверете дали вашият компютър има сертификати Secure Boot 2023, използвайки Windows Security

Проверете дали вашият компютър има сертификати за Secure Boot 2023, използвайки PowerShell

За да проверите дали имате „актуализираните“ сертификати за Secure Boot от 2023 г. (които заместват тези, чийто срок изтича през 2026 г.), използвайте тези стъпки:

1. Отворете „Старт“ в Windows 11.

    

    

2. Потърсете PowerShell (или Terminal ), щракнете с десния бутон върху горния резултат и изберете опцията „Изпълни като администратор“.

3. Въведете тази команда, за да проверите датата на изтичане на сертификатите за Secure Boot, и натиснете Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -съвпадение на „Windows UEFI CA 2023“

   

След като изпълните стъпките, ако резултатът е „True“ (Вярно), имате новия сертификат (валиден до 2053 г.). Ако резултатът е „False“ (Невярно), вероятно все още използвате сертификата от 2011 г. (изтичащ през 2026 г.).

Сертификатите за Secure Boot 2011 изтичат през 2026 г. – какво прави всеки сертификат

Почти всички съвременни вериги за сигурно зареждане (Secure Boot) разчитат на сертификатите на Microsoft от 2011 г., които имат следните дати на валидност :

• Microsoft Corporation KEK CA 2011 (24 юни 2026 г.). 
• Microsoft Corporation UEFI CA 2011 (27 юни 2026 г.).
• Microsoft Option ROM UEFI CA 2011 (27 юни 2026 г.).
• Microsoft Windows Production PCA 2011 (19 октомври 2026 г.).

За справка, ето какво прави всеки сертификат:

• KEK сертификат: Доверена котва, която позволява актуализиране на бази данни с подписи Secure Boot (DB/DBX).
• UEFI CA сертификати: Доверете се на подписите на буутлоудърите и компонентите на фърмуера (включително EFI приложения на трети страни).
• Option ROM CA: Доверява се на ROM модулите с опции за фърмуер.
• Microsoft Windows Production PCA 2011: Гарантира, че фърмуерът при Secure Boot доверява зареждащата програма на Windows и свързаните с нея двоични файлове.

Ако вашите сертификати наближават срок на валидност, Microsoft и производителят на вашия компютър (OEM) автоматично ще публикуват актуализации на фърмуера или „DBX“ актуализации чрез Windows Update или системни актуализации, за да регистрират новите сертификати на CA от 2023 г. Винаги можете да инсталирате ръчно новите сертификати за Secure Boot .

Защо ИД на събитие 1801 се появява в програмата за преглед на събития (и защо това не е грешка)

Накрая вероятно ще забележите, че ИД на събитие 1801 се появява за източника „TPM-WMI (Microsoft-Windows-TPM-WMI)“ със съобщението „BucketConfidenceLevel: Под наблюдение – Необходими са още данни“ .

Въпреки че изглежда като грешка, това не е повреда. Този запис означава, че операционната система е открила актуализирани сертификати за Secure Boot, но все още не ги е приложила към фърмуера.

Устройството е във фаза на подготовка и валидиране, докато Microsoft постепенно пуска актуализацията. Тъй като ключовете за Secure Boot се намират във фърмуера на UEFI и влияят на веригата за зареждане, преходът е внимателно координиран, за да се избегнат проблеми със зареждането.

Казано по-просто, идентификатор на събитие 1801 е просто проверка на състоянието, показваща, че Windows оценява вашето устройство като част от внедряването на сертификата за Secure Boot. Съобщението „Под наблюдение“ отразява този процес на оценка. То не показва проблем с TPM, повреда в Secure Boot или повреда в BIOS. Въпреки че е регистрирано като грешка, то е чисто информационно.

Преходът на сертификата за Secure Boot се осъществява на два етапа. Първо, Windows 11 (или 10) изтегля и инсталира новия сертификат в операционната система. По-късно, след проверки за съвместимост и валидиране, сертификатът се записва във фърмуера на системата и се активира.

Устройствата могат да останат между тези два етапа за определен период от време, поради което записите на TPM-WMI може да продължат да се показват в програмата за преглед на събития, въпреки че няма нищо нередно.

Проверете дали вашият компютър има сертификати Secure Boot 2023, използвайки Windows Security

В допълнение към използването на PowerShell, приложението Windows Security е актуализирано , за да показва точното състояние на сертификатите за Secure Boot, чийто срок на валидност изтича през 2026 г. 

За да проверите дали компютърът ви има най-новите сертификати за Secure Boot, използвайте тези стъпки:

1. Отворете „Старт“ .

2. Потърсете „ Защита на Windows“ и щракнете върху горния резултат, за да отворите приложението.

3. Кликнете върху „Защита на устройството“ от левия панел.

4. Потвърдете цвета и съобщението на значката Secure Boot.

5. (Опция 1) Зеленият цвят означава, че системата е напълно актуализирана с най-новите сертификати и компоненти за зареждане.

   

6. (Опция 2) Жълтият цвят показва, че актуализацията е в очакване или е ограничена от ограничения за съвместимост.

   

7. (Опция 3) Червеното означава, че системата не може да приложи необходимите актуализации и се нуждае от намеса.

   

След като изпълните стъпките, ще имате по-ясна представа дали не е необходимо действие или трябва да продължите с ръчния процес, за да актуализирате фърмуера на системата си с по-новата версия на сертификатите за Secure Boot.

Съобщението, което ще видите в приложението „Защита на Windows“, е свързано с актуализации на сертификати, доставяни чрез Windows Update. Системата оценява съвместимостта на фърмуера, проверява внедряването на сертификати и докладва резултата в реално време.

Microsoft постепенно разпространява тази актуализация за приложението Windows Update. Ако не можете да определите състоянието на сертификатите, използвайте опцията PowerShell.

Също така, считано от май 2026 г., известията на системно ниво ще отразяват тези състояния, което ще увеличи видимостта, когато се изисква действие.