Microsoft vysvětluje bezpečnostní rizika certifikátů Secure Boot, jejichž platnost ve Windows 11 vyprší v roce 2026

• Certifikáty Secure Boot zavedené v roce 2011 vyprší koncem června 2026.
• Počítače se po vypršení platnosti budou normálně spouštět.
• Zařízení bez aktualizovaných certifikátů přecházejí do stavu sníženého zabezpečení.
• Podporovaná zařízení s Windows 11 a Windows 10 dostávají aktualizace automaticky prostřednictvím služby Windows Update.
• Nepodporované systémy, včetně Windows 10 po říjnu 2025 bez ESU, nové certifikáty neobdrží.

Společnost Microsoft potvrdila , že zařízení s původními certifikáty Secure Boot zavedenými v roce 2011 začnou koncem června 2026 vypršet, což spustí rozsáhlou bezpečnostní aktualizaci, která ovlivní téměř každý moderní počítač.

Secure Boot je bezpečnostní mechanismus dostupný ve firmwaru Unified Extensible Firmware Interface (UEFI), který se spouští při spuštění systému, před načtením operačního systému. Účelem této funkce je ověřit, zda se během spouštění může spustit pouze důvěryhodný, digitálně podepsaný kód, a blokovat tak bootkity a další nízkoúrovňové hrozby, které se pokoušejí ohrozit systém během spouštění. Posledních 15 let se tento proces spoléhal na certifikáty zabudované do firmwaru zařízení, ale tyto certifikáty se nyní blíží ke konci svého plánovaného životního cyklu.

Přestane vám v roce 2026 fungovat počítač?

Stručná odpověď zní ne. Po vypršení platnosti původních certifikátů se počítače budou nadále spouštět a systém Windows 11 (nebo 10) se bude i nadále normálně načítat. Aplikace nebudou náhle selhávat a nedojde k okamžitému narušení jejich funkčnosti.

Systémy, které neobdrží aktualizované certifikáty Secure Boot, však přejdou do stavu sníženého zabezpečení. To však neznamená, že počítač je okamžitě nebezpečný. Znamená to pouze, že zařízení již nebude schopno přijímat budoucí aktualizace řetězce důvěryhodnosti Secure Boot.

Postupem času, jakmile se objeví nové zranitelnosti na úrovni spouštění, tyto systémy nemusí být schopny nainstalovat nová opatření. Počítač sice nadále běží, ale jeho ochrana při spouštění se již nevyvíjí a toto dlouhodobé omezení je skutečným problémem.

Proč Microsoft nahrazuje certifikáty Secure Boot

Bezpečnostní certifikáty nejsou určeny k věčnému trvání. S vývojem bezpečnostních standardů je nutné aktualizovat šifrovací klíče a důvěryhodné kotvy, aby se zabránilo tomu, že se zastaralé přihlašovací údaje stanou zranitelnostmi. Vypršení platnosti certifikátů Secure Boot z roku 2011 bylo plánováno od samého začátku.

Významným prvkem tohoto přechodu je jeho rozsah. Secure Boot funguje na úrovni firmwaru, nejen v rámci samotného operačního systému. Jeho aktualizace vyžaduje koordinaci mezi servisem Windows 11 (a 10), firmwarem zařízení a výrobci hardwaru napříč miliony unikátních konfigurací zařízení po celém světě.

Společnost Microsoft to popisuje jako jednu z největších koordinovaných snah o údržbu zabezpečení v ekosystému Windows.

Jak je aktualizace doručována

Softwarový gigant již začal zavádět nové certifikáty Secure Boot prostřednictvím pravidelných měsíčních aktualizací podporovaných verzí, včetně Windows 11 a 10. Pro většinu domácích uživatelů a firem, které společnosti umožňují správu aktualizací, by se aktualizace měly spouštět automaticky na pozadí.

V některých případech, zejména u staršího hardwaru, může být před úspěšným použitím nových certifikátů vyžadována aktualizace firmwaru od výrobce zařízení. Společnost Microsoft uvádí, že na přípravě zařízení na přechod úzce spolupracovala s hlavními výrobci počítačů (jako jsou Dell, HP a Lenovo).

Téměř všechna zařízení vyrobená od roku 2024 již obsahují aktualizované certifikáty a téměř všechny systémy dodané v roce 2025 je mají ihned po vybalení z krabice.

A co nepodporované verze Windows?

Zařízení s nepodporovanými verzemi operačního systému neobdrží nové certifikáty Secure Boot prostřednictvím služby Windows Update. To zahrnuje i Windows 10 po ukončení podpory v říjnu 2025, pokud není zařízení zaregistrováno v programu Extended Security Updates .

Tyto systémy budou fungovat i po vypršení platnosti certifikátů z roku 2011, ale jejich schopnost přijímat budoucí vylepšení zabezpečení na úrovni spouštění bude trvale omezena. S vývojem platformy se může postupně zvyšovat vystavení novým hrozbám a problémům s kompatibilitou s novějším firmwarem, hardwarem nebo verzemi Windows.

Co byste měli udělat teď?

Pro většinu lidí je nejbezpečnější postup jednoduchý – nezapomeňte udržovat systém Windows 11 (a 10) plně aktualizovaný a ujistěte se, že máte aktuální firmware zařízení, a to na stránce podpory výrobce. Společnost Microsoft uvedla, že v nadcházejících měsících se v aplikaci Zabezpečení systému Windows zobrazí další informace o stavu aktualizací certifikátů, což poskytne lepší přehled o celém procesu.

Certifikát Secure Boot můžete kdykoli zkontrolovat a aktualizovat ručně pomocí těchto pokynů.

Organizace spravující velký počet počítačů by to měly považovat spíše za ověřovací a plánovací proces nasazení než za jednoduchou aktualizaci Patch Tuesday.