Microsoft заменя изтичащите сертификати за Secure Boot в Windows 11 – Всички подробности и как да актуализирате вашия

• Secure Boot предотвратява компрометирането на процеса на стартиране на Windows 11 от злонамерен софтуер на ниско ниво.
• Оригиналните сертификати за Secure Boot на Microsoft от 2011 г. изтичат през юни 2026 г., а новите сертификати от 2023 г. удължават защитата до 2053 г.
• Устройствата, закупени през 2024 г. и по-късно, вероятно вече имат най-новите сертификати. Други ги получават постепенно чрез Windows Update.
• Можете да проверите състоянието на сертификата си с помощта на PowerShell и ръчно да актуализирате сертификатите, като използвате настройки на системния регистър и планирани задачи, ако актуализациите не са пристигнали автоматично.

Сертификатът за модула Secure Boot на вашия компютър изтича през юни 2026 г. Започвайки с актуализацията за сигурност от януари 2026 г. , Microsoft започна постепенно внедряване на нов сертификат, който ще позволи на вашия компютър да продължи да се стартира правилно и да получава актуализации за сигурност.

В Windows 11 , Secure Boot е функция за сигурност, налична във фърмуера на Unified Extensible Firmware Interface (UEFI), която предотвратява неоторизирани промени в критични системни файлове по време на стартиране. В резултат на това се гарантира, че устройството се стартира, използвайки само софтуер, на който производителят се доверява.

С други думи, Secure Boot помага за защитата на вашите устройства от ниско ниво на злонамерен софтуер (като bootkits и rootkits), който може да зарази процеса на зареждане и да получи контрол над компютъра ви, преди операционната система и антивирусният ви софтуер дори да се заредят.

Разбиране на сертификатите за защитено зареждане

Като част от процеса, функцията използва криптографски ключове (известни като сертифициращи органи (CA)), за да провери дали модулите на фърмуера идват от надежден източник, което помага за предотвратяване на стартирането на зловреден софтуер по време на ранните етапи на стартиране на устройството.

Сертификатите за Secure Boot винаги са имали дати на изтичане, тъй като те помагат да се гарантира, че компютърът ви продължава да получава актуализации за сигурност и да се стартира правилно. Ето защо трябва да инсталирате сертификатите от 2023 г., преди сертификатите от 2011 г. да започнат да изтичат през юни 2026 г.

Ако имате устройство, закупено през 2024 г. (или по-късно), има вероятност най-новите сертификати вече да са инсталирани. За останалите компютри обаче Microsoft вече е в процес на въвеждане на новите сертификати за Secure Boot чрез Windows Update.

В „Актуализация на сигурността 2026-01 (KB5074109) (26200.7623)“, пусната на 13 януари 2026 г., софтуерният гигант отбеляза, че актуализациите вече включват подмножество от данни за насочване към устройства с висока степен на достоверност, които идентифицират устройства, отговарящи на условията за автоматично получаване на нови сертификати за Secure Boot. Устройствата ще получават новите сертификати само след като демонстрират достатъчно успешни сигнали за актуализация, което гарантира безопасно и поетапно внедряване.

Това означава, че не е нужно да предприемате никакви ръчни стъпки за актуализиране на Secure Boot , освен да позволите на системата да продължи да получава актуализации. Поне отсега, докато актуализацията за сигурност от юни 2026 г. стане налична.

Проверете датата на изтичане на сертификата за Secure Boot

Тъй като няма да получите известие, че компютърът ви вече включва най-новите сертифициращи органи, е важно да проверите дали устройството ви все още се нуждае от актуализация.

Windows 11 няма вградена команда за показване на датата на изтичане на фърмуера, която може да се чете от човек. Можете обаче да проверите дали имате „актуализираните“ сертификати за 2023 г. (които заместват тези, изтичащи през 2026 г.), като използвате тези стъпки:

Отворете PowerShell (администратор) и изпълнете:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -съвпадение на „Windows UEFI CA 2023“

• Вярно: Имате новия сертификат (валиден до 2053 г.).
• Невярно: Вероятно все още използвате сертификата от 2011 г. (изтичащ през 2026 г.).

Проверка на PowerShell за изтичане на срока на валидност на сертификата Secure Boot / Изображение: Mauro Huculak

Почти всички съвременни вериги за сигурно зареждане (Secure Boot) разчитат на сертификатите на Microsoft от 2011 г., които имат следните дати на валидност :

• Microsoft Corporation KEK CA 2011 (24 юни 2026 г.). 
• Microsoft Corporation UEFI CA 2011 (27 юни 2026 г.).
• Microsoft Option ROM UEFI CA 2011 (27 юни 2026 г.).
• Microsoft Windows Production PCA 2011 (19 октомври 2026 г.).

За справка, ето какво прави всеки сертификат:

• KEK сертификат: Доверена котва, която позволява актуализиране на бази данни с подписи Secure Boot (DB/DBX).
• UEFI CA сертификати: Доверете се на подписите на буутлоудърите и компонентите на фърмуера (включително EFI приложения на трети страни).
• Option ROM CA: Доверява се на ROM модулите с опции за фърмуер.
• Microsoft Windows Production PCA 2011: Гарантира, че фърмуерът при Secure Boot доверява зареждащата програма на Windows и свързаните с нея двоични файлове.

Актуализирайте сертификатите за Secure Boot в Windows 11

Ако вашите сертификати наближават срок на валидност, Microsoft и производителят на вашия компютър (OEM) автоматично ще публикуват актуализации на фърмуера или „DBX“ актуализации чрез Windows Update или системни актуализации, за да регистрират новите сертификати на CA от 2023 г. Можете обаче ръчно да актуализирате вашия Secure Boot.

Предупреждение: Преди да продължите, уверете се, че имате запазен ключ за възстановяване на BitLocker и че BIOS (UEFI) е актуален. Ако фърмуерът на компютъра ви не поддържа новите сертификати, той може да не успее да се стартира след актуализацията. Препоръчително е също да създадете пълно резервно копие на компютъра си, преди да продължите.

Отворете PowerShell (администратор) и изпълнете:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Тази команда задава ключа на системния регистър, който инструктира операционната система да разположи всички необходими сертификати (включително мениджъра за зареждане, подписан от PCA 2023).

Стойността 0x5944е кодът за „пълно смекчаване“, който активира всички съответни актуализации на сертификатите.

Windows 11 има вградена задача, която обработва тези промени в сертификатите, и можете да я задействате ръчно, за да избегнете чакане от 12 часа със следната команда:

Старт-ПланиранаЗадача -ИмеНаЗадача "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell актуализира сертификата за защитено зареждане / Изображение: Мауро Хуцулак

Актуализацията обикновено изисква две рестартирания, за да се приложи напълно. След първото рестартиране системата актуализира мениджъра за зареждане. След второто финализира записването на сертификата в базата данни на UEFI.

След рестартирането можете да проверите дали „UEFI CA 2023“ вече е наличен във вашата база данни, като изпълните тази PowerShell команда (като администратор):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -съвпадение на „Windows UEFI CA 2023“

• Вярно: Вашата система вече е защитена с новите сертификати.
• Невярно: Ако остане невярно след няколко рестартирания, фърмуерът на дънната платка може да е твърде стар, за да приеме новия формат на сертификата. Проверете уебсайта на производителя за актуализация на BIOS, свързана със „Secure Boot“.

Ако BitLocker е активен, може да се наложи временно да деактивирате криптиранетоSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), преди фърмуерът да може успешно да запише новите ключове на устройството.