Microsoft обяснява рисковете за сигурността на сертификатите за Secure Boot, чийто срок на валидност изтича през 2026 г. в Windows 11

• Сертификатите за Secure Boot, въведени през 2011 г., изтичат в края на юни 2026 г.
• Компютрите ще продължат да се стартират нормално след изтичане на срока.
• Устройствата без актуализирани сертификати влизат в състояние на влошена сигурност.
• Поддържаните устройства с Windows 11 и Windows 10 получават актуализации автоматично чрез Windows Update.
• Неподдържаните системи, включително Windows 10 след октомври 2025 г. без ESU, няма да получат новите сертификати.

Microsoft потвърди , че устройствата с оригиналните сертификати за Secure Boot, въведени през 2011 г., ще започнат да изтичат в края на юни 2026 г., което ще доведе до голяма актуализация на сигурността, която засяга почти всеки съвременен компютър.

Secure Boot е механизмът за сигурност, наличен във фърмуера на Unified Extensible Firmware Interface (UEFI), който се изпълнява при стартиране, преди операционната система да се зареди. Целта на тази функция е да провери дали само надежден, цифрово подписан код може да се изпълнява по време на стартиране, блокирайки буткитове и други ниско ниво заплахи, които се опитват да компрометират системата по време на зареждане. През последните 15 години този процес разчиташе на сертификати, вградени във фърмуера на устройството, но тези сертификати вече достигат края на планирания си жизнен цикъл.

Ще спре ли компютърът ви да работи през 2026 г.?

Краткият отговор е „не“. Когато оригиналните сертификати изтекат, компютрите ще продължат да се зареждат и Windows 11 (или 10) ще продължи да се зарежда нормално. Приложенията няма внезапно да се сринат и няма да видите незабавно прекъсване.

Системите, които не получават актуализираните сертификати за Secure Boot, обаче ще влязат в състояние на влошена сигурност. Това обаче не означава, че компютърът е незабавно опасен. Това просто означава, че устройството вече няма да може да приема бъдещи актуализации на веригата за доверие на Secure Boot.

С течение на времето, с откриването на нови уязвимости на ниво зареждане, тези системи може да не са в състояние да инсталират нови защити. Машината продължава да работи, но защитите ѝ при стартиране вече не се развиват и това дългосрочно ограничение е истинският проблем.

Защо Microsoft заменя сертификатите за Secure Boot

Сертификатите за сигурност не са предназначени да траят вечно. С развитието на стандартите за сигурност, ключовете за криптиране и доверителните котви трябва да се актуализират, за да се предотврати превръщането на остарели идентификационни данни в уязвимости. Изтичането на сертификатите за Secure Boot от 2011 г. беше планирано от самото начало.

Това, което прави този преход значителен, е мащабът. Secure Boot работи на ниво фърмуер, не само в самата операционна система. Актуализирането му изисква координация между производителите на Windows 11 (и 10), фърмуера на устройството и хардуера в милиони уникални конфигурации на устройства по целия свят.

Microsoft описва това като едно от най-големите координирани усилия за поддръжка на сигурността в екосистемата на Windows.

Как се доставя актуализацията

Софтуерният гигант вече е започнал да пуска новите сертификати Secure Boot чрез редовни месечни актуализации на поддържаните версии, включително Windows 11 и 10. За повечето домашни потребители и фирми, които позволяват на компанията да управлява актуализациите, актуализациите би трябвало да се случват автоматично във фонов режим.

В някои случаи, особено при по-стар хардуер, може да се изисква актуализация на фърмуера от производителя на устройството, преди новите сертификати да могат да бъдат успешно приложени. Microsoft твърди, че е работила в тясно сътрудничество с големи производители на компютри (като Dell, HP и Lenovo), за да подготви устройствата за прехода.

Почти всички устройства, произведени след 2024 г., вече включват актуализираните сертификати, а почти всички системи, доставени през 2025 г., са снабдени с тях веднага щом бъдат пуснати в продажба.

А какво да кажем за неподдържаните версии на Windows?

Устройства, работещи с неподдържани версии на операционната система, няма да получат новите сертификати за Secure Boot чрез Windows Update. Това включва Windows 10 след края на поддръжката му през октомври 2025 г., освен ако устройството не е регистрирано в Extended Security Updates .

Тези системи ще продължат да функционират след изтичането на сертификатите от 2011 г., но ще останат постоянно ограничени в способността си да получават бъдещи подобрения на сигурността на ниво зареждане. С развитието на платформата това може постепенно да увеличи излагането на нови заплахи и проблеми със съвместимостта с по-нов фърмуер, хардуер или версии на Windows.

Какво трябва да направите сега?

За повечето хора най-безопасният начин на действие е лесен – не забравяйте да поддържате Windows 11 (и 10) напълно актуализиран и да се уверите, че фърмуерът на устройството ви е актуален, като проверите страницата за поддръжка на производителя. Microsoft посочи, че допълнителна информация за състоянието на актуализациите на сертификатите ще се появи в приложението „Защита на Windows“ през следващите месеци, осигурявайки по-добра видимост на процеса.

Винаги можете да проверите и актуализирате сертификата за Secure Boot ръчно, като използвате тези инструкции.

Организациите, управляващи голям брой компютри, трябва да третират това като упражнение за валидиране и планиране на внедряването, а не като обикновена актуализация „Patch Tuesday“.