Společnost Microsoft nahrazuje certifikáty Secure Boot v systému Windows 11 s vypršením platnosti – Všechny podrobnosti a jak aktualizovat ten svůj

• Zabezpečené spouštění zabraňuje nízkému malwaru v narušení procesu spouštění systému Windows 11.
• Původní certifikáty Secure Boot od společnosti Microsoft z roku 2011 vyprší v červnu 2026 a nové certifikáty z roku 2023 prodlužují ochranu do roku 2053.
• Zařízení zakoupená v roce 2024 a později pravděpodobně již mají nejnovější certifikáty. Ostatní je dostávají postupně prostřednictvím služby Windows Update.
• Stav certifikátu můžete zkontrolovat pomocí PowerShellu a certifikáty ručně aktualizovat pomocí úprav registru a naplánovaných úloh, pokud aktualizace nedorazily automaticky.

Certifikát pro modul Secure Boot vašeho počítače vyprší v červnu 2026. Počínaje aktualizací zabezpečení z ledna 2026 společnost Microsoft zahájila postupné zavádění nového certifikátu, který umožní vašemu počítači i nadále správně spouštět systém a přijímat aktualizace zabezpečení.

Ve Windows 11 je Secure Boot bezpečnostní funkce dostupná ve firmwaru UEFI (Unified Extensible Firmware Interface), která zabraňuje neoprávněným úpravám kritických systémových souborů během spouštění. V důsledku toho zajišťuje, že se zařízení spustí pouze s použitím softwaru, kterému důvěřuje výrobce.

Jinými slovy, Secure Boot pomáhá chránit vaše zařízení před nízkoúrovňovým malwarem (jako jsou bootkity a rootkity), který může infikovat proces spouštění a získat kontrolu nad vaším počítačem ještě předtím, než se operační systém a antivirový software vůbec načtou.

Vysvětlení certifikátů Secure Boot

Součástí procesu je ověření, zda firmwarové moduly pocházejí z důvěryhodného zdroje pomocí kryptografických klíčů (známých jako certifikační autority (CA)), což pomáhá zabránit spuštění malwaru v raných fázích spouštění zařízení.

Certifikáty Secure Boot měly vždy datum vypršení platnosti, protože pomáhají zajistit, aby váš počítač nadále přijímal aktualizace zabezpečení a správně se spouštěl. Proto je nutné nainstalovat certifikáty z roku 2023 dříve, než v červnu 2026 začnou vypršet certifikáty z roku 2011.

Pokud máte zařízení zakoupené v roce 2024 (nebo později), je pravděpodobné, že nejnovější certifikáty již máte nainstalované. Pro zbytek počítačů však společnost Microsoft nyní zavádí nové certifikáty Secure Boot prostřednictvím služby Windows Update.

V aktualizaci zabezpečení „2026-01 (KB5074109) (26200.7623)“ vydané 13. ledna 2026 softwarový gigant uvedl, že aktualizace nyní obsahují podmnožinu vysoce spolehlivých dat o cílení zařízení, která identifikují zařízení způsobilá k automatickému přijetí nových certifikátů Secure Boot. Zařízení obdrží nové certifikáty až po prokázání dostatečného počtu signálů úspěšné aktualizace, což zajišťuje bezpečné a postupné nasazení.

To znamená, že k aktualizaci Secure Boot nemusíte provádět žádné manuální kroky , kromě toho, že systému umožníte i nadále přijímat aktualizace. Alespoň odteď, dokud nebude k dispozici bezpečnostní aktualizace z června 2026.

Zkontrolujte datum vypršení platnosti certifikátu Secure Boot

Protože neobdržíte oznámení, že váš počítač nyní obsahuje nejnovější certifikační autority, je důležité zkontrolovat, zda vaše zařízení stále potřebuje aktualizaci.

Systém Windows 11 nemá žádný nativní příkaz pro zobrazení data vypršení platnosti firmwaru v čitelném formátu. Můžete však zkontrolovat, zda máte „aktualizované“ certifikáty z roku 2023 (které nahrazují ty, jejichž platnost vyprší v roce 2026), pomocí těchto kroků:

Otevřete PowerShell (správce) a spusťte:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Pravda: Máte nový certifikát (platný do roku 2053).
• Nepravda: Pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026).

Kontrola platnosti certifikátu Secure Boot v PowerShellu / Obrázek: Mauro Huculak

Téměř všechny moderní řetězce Secure Boot se spoléhají na certifikáty společnosti Microsoft z roku 2011, které mají následující data vypršení platnosti :

• Microsoft Corporation KEK CA 2011 (24. června 2026). 
• Certifikace UEFI společnosti Microsoft Corporation 2011 (27. června 2026).
• Paměť Microsoft Option ROM UEFI CA 2011 (27. června 2026).
• Microsoft Windows Production PCA 2011 (19. října 2026).

Pro informaci, toto dělá každý certifikát:

• Certifikát KEK: Důvěryhodný certifikát, který umožňuje aktualizaci databází podpisů Secure Boot (DB/DBX).
• Certifikáty UEFI CA: Důvěřujte podpisům bootloaderů a komponent firmwaru (včetně aplikací EFI třetích stran).
• Option ROM CA: Důvěřuje modulům ROM s volitelným firmwarem.
• Microsoft Windows Production PCA 2011: Zajišťuje, aby firmware v režimu Secure Boot důvěřoval zavaděči systému Windows a souvisejícím binárním souborům.

Aktualizace certifikátů Secure Boot ve Windows 11

Pokud se platnost vašich certifikátů blíží ke konci platnosti, společnost Microsoft a výrobce vašeho počítače (OEM) automaticky odešlou aktualizace firmwaru nebo aktualizace „DBX“ prostřednictvím služby Windows Update nebo aktualizací systému, aby se zaregistrovaly nové certifikáty certifikační autority 2023. Můžete však ručně aktualizovat Secure Boot.

Varování: Než budete pokračovat, ujistěte se, že máte uložený klíč pro obnovení BitLockeru a že váš systém BIOS (UEFI) je aktuální. Pokud firmware vašeho počítače nepodporuje nové certifikáty, počítač se po aktualizaci nemusí spustit. Před pokračováním se také doporučuje vytvořit úplnou zálohu počítače.

Otevřete PowerShell (správce) a spusťte:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Tento příkaz nastaví klíč registru, který instruuje operační systém k nasazení všech požadovaných certifikátů (včetně správce spouštění podepsaného PCA 2023).

Hodnota 0x5944je kód „úplného zmírnění“, který povoluje všechny relevantní aktualizace certifikátů.

Systém Windows 11 má vestavěnou úlohu, která tyto změny certifikátů zpracovává, a můžete ji spustit ručně, abyste se vyhnuli 12hodinovému čekání pomocí následujícího příkazu:

Start-ScheduledTask-NázevÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"

Aktualizace PowerShellu pro certifikát Secure Boot / Obrázek: Mauro Huculak

Aktualizace obvykle vyžaduje dva restarty, aby se plně projevila. Po prvním restartu systém aktualizuje správce spouštění. Po druhém restartu dokončí zápis certifikátu do databáze UEFI.

Po restartu můžete ověřit, zda je „UEFI CA 2023“ nyní ve vaší databázi, spuštěním tohoto příkazu PowerShellu (jako správce):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Pravda: Váš systém je nyní zabezpečen novými certifikáty.
• Nepravda: Pokud po několika restartech zůstane hodnota nepravdivá, firmware základní desky může být příliš starý na to, aby přijal nový formát certifikátu. Zkontrolujte webové stránky výrobce, zda není k dispozici aktualizace systému BIOS související s funkcí „Secure Boot“.

Pokud je BitLocker aktivní, může být nutné dočasně deaktivovat šifrováníSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), než firmware bude moci úspěšně zapsat nové klíče do zařízení.