Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

• Platnost certifikátů Secure Boot od společnosti Microsoft z roku 2011 vyprší v červnu 2026.
• Nové certifikáty Windows UEFI CA 2023 prodlužují ochranu do roku 2053.
• Zařízení zakoupená v roce 2024 nebo později obvykle již obsahují aktualizované certifikáty.
• Starší počítače dostávají aktualizaci postupně prostřednictvím služby Windows Update.
• Stav certifikátu můžete ověřit pomocí příkazu PowerShellu.

Na některých zařízeních s Windows 11 a Windows 10 vyprší platnost certifikátů Secure Boot, které byly poprvé vydány v roce 2011, v červnu 2026. Přestože je společnost Microsoft aktivně nahrazuje certifikáty z roku 2023, měli byste si ověřit, zda váš systém již přešel na novější certifikáty, abyste předešli narušení spouštění nebo zabezpečení.

Secure Boot je ochranná funkce založená na firmwaru v rozhraní UEFI (Unified Extensible Firmware Interface), která zajišťuje, že zařízení načítá pouze software digitálně podepsaný a důvěryhodný výrobcem. Chrání proces spouštění tím, že zabraňuje neoprávněným změnám kritických komponent spouštění před spuštěním operačního systému.

K dosažení tohoto cíle používá Secure Boot kryptografické klíče, známé jako certifikační autority (CA), k ověřování modulů firmwaru a bootloaderů. Tyto certifikáty vytvářejí řetězec důvěryhodnosti, který blokuje spuštění škodlivého kódu během raného spuštění.

Stejně jako všechny digitální certifikáty mají i certifikační autority Secure Boot definovaná data platnosti. Certifikáty z roku 2011, jejichž platnost vyprší v červnu 2026, znamenají, že systémy musí mít nainstalované novější certifikáty z roku 2023, aby mohly nadále přijímat aktualizace a normálně se spouštět bez chyb ověření důvěryhodnosti.

Protože digitální certifikáty mají data vypršení platnosti, musí systémy nainstalovat certifikáty z roku 2023 před vypršením platnosti certifikačních autorit z roku 2011 v červnu 2026, aby se mohly i nadále správně spouštět a přijímat aktualizace.

Zařízení zakoupená v roce 2024 nebo později obvykle již obsahují nové certifikáty. Starší hardware společnost Microsoft distribuuje prostřednictvím služby Windows Update.

Společnost Microsoft již identifikuje a automaticky aktualizuje certifikace Secure Boot prostřednictvím pravidelných aktualizací systému, takže kromě ponechání zapnuté služby Windows Update a instalace měsíčních aktualizací zabezpečení před termínem v červnu 2026 není nutný žádný ruční zásah . Vždy je však dobré zkontrolovat a zjistit, zda má vaše zařízení příslušné certifikáty.

V této příručce popíšu kroky, jak zkontrolovat, zda jsou certifikáty Secure Boot 2023 již nainstalovány ve vašem počítači.

• Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí PowerShellu.
• Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí nástroje Zabezpečení systému Windows.

Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí PowerShellu.

Chcete-li zkontrolovat, zda máte „aktualizované“ certifikáty Secure Boot z roku 2023 (které nahrazují certifikáty, jejichž platnost vyprší v roce 2026), postupujte takto:

1. Otevřete Start ve Windows 11.

    

    

2. Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.

3. Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

Po dokončení kroků, pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Pokud je výstup „False“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026).

Certifikáty Secure Boot 2011 vyprší v roce 2026 – co každý certifikát dělá

Téměř všechny moderní řetězce Secure Boot se spoléhají na certifikáty společnosti Microsoft z roku 2011, které mají následující data vypršení platnosti :

• Microsoft Corporation KEK CA 2011 (24. června 2026). 
• Certifikace UEFI společnosti Microsoft Corporation 2011 (27. června 2026).
• Paměť Microsoft Option ROM UEFI CA 2011 (27. června 2026).
• Microsoft Windows Production PCA 2011 (19. října 2026).

Pro informaci, toto je to, co každý certifikát dělá:

• Certifikát KEK: Důvěryhodný certifikát, který umožňuje aktualizaci databází podpisů Secure Boot (DB/DBX).
• Certifikáty UEFI CA: Důvěřujte podpisům bootloaderů a komponent firmwaru (včetně aplikací EFI třetích stran).
• Option ROM CA: Důvěřuje modulům ROM s volitelným firmwarem.
• Microsoft Windows Production PCA 2011: Zajišťuje, aby firmware v režimu Secure Boot důvěřoval zavaděči systému Windows a souvisejícím binárním souborům.

Pokud se platnost vašich certifikátů blíží ke konci, společnost Microsoft a výrobce vašeho počítače (OEM) automaticky odešlou aktualizace firmwaru nebo aktualizace „DBX“ prostřednictvím služby Windows Update nebo aktualizací systému, aby se zaregistrovaly nové certifikáty CA 2023. Nové certifikáty Secure Boot můžete vždy nainstalovat ručně .

Proč se v prohlížeči událostí zobrazuje událost s ID události 1801 (a proč se nejedná o chybu)

Nakonec si pravděpodobně všimnete, že se u zdroje „TPM-WMI (Microsoft-Windows-TPM-WMI)“ zobrazí ID události 1801 se zprávou „BucketConfidenceLevel: Ve sledování – Potřebná další data“ .

I když to vypadá jako chyba, nejedná se o selhání. Tato položka znamená, že operační systém detekoval aktualizované certifikáty Secure Boot, ale dosud je neaplikoval na firmware.

Zařízení je ve fázi testování a ověřování, zatímco Microsoft postupně zavádí aktualizaci. Protože klíče Secure Boot jsou součástí firmwaru UEFI a ovlivňují bootovací řetězec, je přechod pečlivě koordinován, aby se předešlo problémům se spouštěním.

Jednoduše řečeno, událost s ID 1801 je pouze kontrola stavu, která indikuje, že systém Windows vyhodnocuje vaše zařízení v rámci zavádění certifikátu Secure Boot. Zpráva „Pod dohledem“ odráží tento proces vyhodnocování. Neznamená problém s čipem TPM, poškození certifikátu Secure Boot ani selhání systému BIOS. Přestože je zaznamenána jako chyba, má čistě informativní charakter.

Přechod certifikátu Secure Boot probíhá ve dvou fázích. Nejprve si Windows 11 (nebo 10) stáhne a připraví nový certifikát v operačním systému. Později, po kontrole kompatibility a ověření, je certifikát zapsán do firmwaru systému a aktivován.

Zařízení mohou po určitou dobu setrvat mezi těmito dvěma fázemi, a proto se položky TPM-WMI mohou v Prohlížeči událostí i nadále zobrazovat, i když se nic neděje.

Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí nástroje Zabezpečení systému Windows.

Kromě používání PowerShellu byla aktualizována i aplikace Zabezpečení systému Windows , která zobrazuje přesný stav certifikátů Secure Boot, jejichž platnost vyprší v roce 2026. 

Chcete-li zkontrolovat, zda má váš počítač nejnovější certifikáty Secure Boot, použijte tyto kroky:

1. Otevřete Start .

2. Vyhledejte Zabezpečení systému Windows a kliknutím na první výsledek otevřete aplikaci.

3. V levém panelu klikněte na Zabezpečení zařízení .

4. Potvrďte barvu a zprávu odznaku Secure Boot.

5. (Možnost 1) Zelená znamená, že systém je plně aktualizován s nejnovějšími certifikáty a spouštěcími komponentami.

   

6. (Možnost 2) Žlutá barva označuje, že aktualizace čeká na vydání nebo je omezena omezeními kompatibility.

   

7. (Možnost 3) Červená znamená, že systém nemůže použít požadované aktualizace a vyžaduje zásah.

   

Po dokončení kroků budete mít jasnější představu o tom, zda není nutná žádná akce, nebo zda je třeba pokračovat v ručním procesu aktualizace firmwaru systému novější verzí certifikátů Secure Boot.

Zpráva, kterou uvidíte v aplikaci Zabezpečení systému Windows, je vázána na aktualizace certifikátů doručované prostřednictvím služby Windows Update. Systém vyhodnocuje kompatibilitu firmwaru, ověřuje nasazení certifikátů a v reálném čase hlásí výsledek.

Společnost Microsoft tuto aktualizaci do aplikace Windows Update zavádí postupně. Pokud nemůžete určit stav certifikátů, použijte možnost PowerShell.

Také od května 2026 budou tyto stavy odrážet systémová oznámení, což zvýší viditelnost, když je vyžadována akce.