Microsoft vysvětluje bezpečnostní rizika certifikátů Secure Boot, jejichž platnost ve Windows 11 vyprší v roce 2026

  • Certifikáty Secure Boot zavedené v roce 2011 vyprší koncem června 2026.
  • Počítače se po vypršení platnosti budou normálně spouštět.
  • Zařízení bez aktualizovaných certifikátů přecházejí do stavu sníženého zabezpečení.
  • Podporovaná zařízení s Windows 11 a Windows 10 dostávají aktualizace automaticky prostřednictvím služby Windows Update.
  • Nepodporované systémy, včetně Windows 10 po říjnu 2025 bez ESU, nové certifikáty neobdrží.

Společnost Microsoft potvrdila , že zařízení s původními certifikáty Secure Boot zavedenými v roce 2011 začnou koncem června 2026 vypršet, což spustí rozsáhlou bezpečnostní aktualizaci, která ovlivní téměř každý moderní počítač.

Secure Boot je bezpečnostní mechanismus dostupný ve firmwaru Unified Extensible Firmware Interface (UEFI), který se spouští při spuštění systému, před načtením operačního systému. Účelem této funkce je ověřit, zda se během spouštění může spustit pouze důvěryhodný, digitálně podepsaný kód, a blokovat tak bootkity a další nízkoúrovňové hrozby, které se pokoušejí ohrozit systém během spouštění. Posledních 15 let se tento proces spoléhal na certifikáty zabudované do firmwaru zařízení, ale tyto certifikáty se nyní blíží ke konci svého plánovaného životního cyklu.

Přestane vám v roce 2026 fungovat počítač?

 

Stručná odpověď zní ne. Po vypršení platnosti původních certifikátů se počítače budou nadále spouštět a systém Windows 11 (nebo 10) se bude i nadále normálně načítat. Aplikace nebudou náhle selhávat a nedojde k okamžitému narušení jejich funkčnosti.

Systémy, které neobdrží aktualizované certifikáty Secure Boot, však přejdou do stavu sníženého zabezpečení. To však neznamená, že počítač je okamžitě nebezpečný. Znamená to pouze, že zařízení již nebude schopno přijímat budoucí aktualizace řetězce důvěryhodnosti Secure Boot.

Postupem času, jakmile se objeví nové zranitelnosti na úrovni spouštění, tyto systémy nemusí být schopny nainstalovat nová opatření. Počítač sice nadále běží, ale jeho ochrana při spouštění se již nevyvíjí a toto dlouhodobé omezení je skutečným problémem.

Proč Microsoft nahrazuje certifikáty Secure Boot

Bezpečnostní certifikáty nejsou určeny k věčnému trvání. S vývojem bezpečnostních standardů je nutné aktualizovat šifrovací klíče a důvěryhodné kotvy, aby se zabránilo tomu, že se zastaralé přihlašovací údaje stanou zranitelnostmi. Vypršení platnosti certifikátů Secure Boot z roku 2011 bylo plánováno od samého začátku.

Významným prvkem tohoto přechodu je jeho rozsah. Secure Boot funguje na úrovni firmwaru, nejen v rámci samotného operačního systému. Jeho aktualizace vyžaduje koordinaci mezi servisem Windows 11 (a 10), firmwarem zařízení a výrobci hardwaru napříč miliony unikátních konfigurací zařízení po celém světě.

Společnost Microsoft to popisuje jako jednu z největších koordinovaných snah o údržbu zabezpečení v ekosystému Windows.

Jak je aktualizace doručována

Softwarový gigant již začal zavádět nové certifikáty Secure Boot prostřednictvím pravidelných měsíčních aktualizací podporovaných verzí, včetně Windows 11 a 10. Pro většinu domácích uživatelů a firem, které společnosti umožňují správu aktualizací, by se aktualizace měly spouštět automaticky na pozadí.

V některých případech, zejména u staršího hardwaru, může být před úspěšným použitím nových certifikátů vyžadována aktualizace firmwaru od výrobce zařízení. Společnost Microsoft uvádí, že na přípravě zařízení na přechod úzce spolupracovala s hlavními výrobci počítačů (jako jsou Dell, HP a Lenovo).

Téměř všechna zařízení vyrobená od roku 2024 již obsahují aktualizované certifikáty a téměř všechny systémy dodané v roce 2025 je mají ihned po vybalení z krabice.

A co nepodporované verze Windows?

Zařízení s nepodporovanými verzemi operačního systému neobdrží nové certifikáty Secure Boot prostřednictvím služby Windows Update. To zahrnuje i Windows 10 po ukončení podpory v říjnu 2025, pokud není zařízení zaregistrováno v programu Extended Security Updates .

Tyto systémy budou fungovat i po vypršení platnosti certifikátů z roku 2011, ale jejich schopnost přijímat budoucí vylepšení zabezpečení na úrovni spouštění bude trvale omezena. S vývojem platformy se může postupně zvyšovat vystavení novým hrozbám a problémům s kompatibilitou s novějším firmwarem, hardwarem nebo verzemi Windows.

Co byste měli udělat teď?

Pro většinu lidí je nejbezpečnější postup jednoduchý – nezapomeňte udržovat systém Windows 11 (a 10) plně aktualizovaný a ujistěte se, že máte aktuální firmware zařízení, a to na stránce podpory výrobce. Společnost Microsoft uvedla, že v nadcházejících měsících se v aplikaci Zabezpečení systému Windows zobrazí další informace o stavu aktualizací certifikátů, což poskytne lepší přehled o celém procesu.

Certifikát Secure Boot můžete kdykoli zkontrolovat a aktualizovat ručně pomocí těchto pokynů.

Organizace spravující velký počet počítačů by to měly považovat spíše za ověřovací a plánovací proces nasazení než za jednoduchou aktualizaci Patch Tuesday.

Zanechat komentář

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Vytvořte odblokovaný ISO soubor Windows 11 pomocí Tiny11 Builderu. Odeberte výchozí aplikace, přeskočte účet Microsoft a vytvořte čistý instalační obraz.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Build Windows 11 26120.3964 (KB5058496) přináší agenta umělé inteligence pro Nastavení, přidává možnost přenosu souborů pro aplikaci Zálohování a funkce Klikni a vytvoř rozšiřuje akce.

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Chcete-li upgradovat z Windows 11 24H2 na verzi 25H2 bez přeinstalace nebo dalších nástrojů, musíte ručně nainstalovat zprovozňovací balíček.

Jak zobrazit čas v Centru oznámení ve Windows 11

Jak zobrazit čas v Centru oznámení ve Windows 11

Chcete-li v systému Windows 11 povolit hodiny Centra oznámení, otevřete Nastavení > Čas a jazyk > Datum a čas a zapněte možnost Zobrazit čas v Centru oznámení.

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Chcete-li nainstalovat Windows 11 bez bloatwaru pomocí lokálního účtu na nepodporovaném hardwaru, integrujte soubor autounattend.xml do bootovacího USB disku.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Únik informací o Aluminium OS od Googlu odhaluje plnohodnotné desktopové rozhraní Androidu, multitasking, rozšíření pro Chrome a umělou inteligenci, potenciálního rivala Windows 11.

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft údajně po negativní reakci uživatelů omezuje používání platformy Copilot v aplikacích pro Windows 11, pozastavuje nové funkce umělé inteligence a přezkoumává stávající integrace.

Jak povolit režim hibernace ve Windows 11

Jak povolit režim hibernace ve Windows 11

Chcete-li v systému Windows 11 povolit režim spánku, spusťte příkaz powercfg /hibernate on a v Ovládacích panelech – Možnosti napájení povolte režim spánku pro spuštění.

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

AppControl přináší do Windows 11 třídenní historii systému, sledování spouštění aplikací a upozornění. Je lepší než Správce úloh? Zde je kompletní rozpis.

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Chcete-li v adresním řádku a na stránce nové karty v Chromu zakázat režim AI, musíte na stránce Vlajky zakázat čtyři klíčová nastavení. Zde je návod.