Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

  • Platnost certifikátů Secure Boot od společnosti Microsoft z roku 2011 vyprší v červnu 2026.
  • Nové certifikáty Windows UEFI CA 2023 prodlužují ochranu do roku 2053.
  • Zařízení zakoupená v roce 2024 nebo později obvykle již obsahují aktualizované certifikáty.
  • Starší počítače dostávají aktualizaci postupně prostřednictvím služby Windows Update.
  • Stav certifikátu můžete ověřit pomocí příkazu PowerShellu.

Na některých zařízeních s Windows 11 a Windows 10 vyprší platnost certifikátů Secure Boot, které byly poprvé vydány v roce 2011, v červnu 2026. Přestože je společnost Microsoft aktivně nahrazuje certifikáty z roku 2023, měli byste si ověřit, zda váš systém již přešel na novější certifikáty, abyste předešli narušení spouštění nebo zabezpečení.

Secure Boot je ochranná funkce založená na firmwaru v rozhraní UEFI (Unified Extensible Firmware Interface), která zajišťuje, že zařízení načítá pouze software digitálně podepsaný a důvěryhodný výrobcem. Chrání proces spouštění tím, že zabraňuje neoprávněným změnám kritických komponent spouštění před spuštěním operačního systému.

K dosažení tohoto cíle používá Secure Boot kryptografické klíče, známé jako certifikační autority (CA), k ověřování modulů firmwaru a bootloaderů. Tyto certifikáty vytvářejí řetězec důvěryhodnosti, který blokuje spuštění škodlivého kódu během raného spuštění.

Stejně jako všechny digitální certifikáty mají i certifikační autority Secure Boot definovaná data platnosti. Certifikáty z roku 2011, jejichž platnost vyprší v červnu 2026, znamenají, že systémy musí mít nainstalované novější certifikáty z roku 2023, aby mohly nadále přijímat aktualizace a normálně se spouštět bez chyb ověření důvěryhodnosti.

Protože digitální certifikáty mají data vypršení platnosti, musí systémy nainstalovat certifikáty z roku 2023 před vypršením platnosti certifikačních autorit z roku 2011 v červnu 2026, aby se mohly i nadále správně spouštět a přijímat aktualizace.

Zařízení zakoupená v roce 2024 nebo později obvykle již obsahují nové certifikáty. Starší hardware společnost Microsoft distribuuje prostřednictvím služby Windows Update.

Společnost Microsoft již identifikuje a automaticky aktualizuje certifikace Secure Boot prostřednictvím pravidelných aktualizací systému, takže kromě ponechání zapnuté služby Windows Update a instalace měsíčních aktualizací zabezpečení před termínem v červnu 2026 není nutný žádný ruční zásah . Vždy je však dobré zkontrolovat a zjistit, zda má vaše zařízení příslušné certifikáty.

V této příručce popíšu kroky, jak zkontrolovat, zda jsou certifikáty Secure Boot 2023 již nainstalovány ve vašem počítači.

Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí PowerShellu.

Chcete-li zkontrolovat, zda máte „aktualizované“ certifikáty Secure Boot z roku 2023 (které nahrazují certifikáty, jejichž platnost vyprší v roce 2026), postupujte takto:

  1. Otevřete Start ve Windows 11.

     

     

  2. Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.

  3. Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

Po dokončení kroků, pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Pokud je výstup „False“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026).

Certifikáty Secure Boot 2011 vyprší v roce 2026 – co každý certifikát dělá

Téměř všechny moderní řetězce Secure Boot se spoléhají na certifikáty společnosti Microsoft z roku 2011, které mají následující data vypršení platnosti :

  • Microsoft Corporation KEK CA 2011 (24. června 2026). 
  • Certifikace UEFI společnosti Microsoft Corporation 2011 (27. června 2026).
  • Paměť Microsoft Option ROM UEFI CA 2011 (27. června 2026).
  • Microsoft Windows Production PCA 2011 (19. října 2026).

Pro informaci, toto je to, co každý certifikát dělá:

  • Certifikát KEK: Důvěryhodný certifikát, který umožňuje aktualizaci databází podpisů Secure Boot (DB/DBX).
  • Certifikáty UEFI CA: Důvěřujte podpisům bootloaderů a komponent firmwaru (včetně aplikací EFI třetích stran).
  • Option ROM CA: Důvěřuje modulům ROM s volitelným firmwarem.
  • Microsoft Windows Production PCA 2011: Zajišťuje, aby firmware v režimu Secure Boot důvěřoval zavaděči systému Windows a souvisejícím binárním souborům.

Pokud se platnost vašich certifikátů blíží ke konci, společnost Microsoft a výrobce vašeho počítače (OEM) automaticky odešlou aktualizace firmwaru nebo aktualizace „DBX“ prostřednictvím služby Windows Update nebo aktualizací systému, aby se zaregistrovaly nové certifikáty CA 2023. Nové certifikáty Secure Boot můžete vždy nainstalovat ručně .

Proč se v prohlížeči událostí zobrazuje událost s ID události 1801 (a proč se nejedná o chybu)

Nakonec si pravděpodobně všimnete, že se u zdroje „TPM-WMI (Microsoft-Windows-TPM-WMI)“ zobrazí ID události 1801 se zprávou „BucketConfidenceLevel: Ve sledování – Potřebná další data“ .

I když to vypadá jako chyba, nejedná se o selhání. Tato položka znamená, že operační systém detekoval aktualizované certifikáty Secure Boot, ale dosud je neaplikoval na firmware.

Zařízení je ve fázi testování a ověřování, zatímco Microsoft postupně zavádí aktualizaci. Protože klíče Secure Boot jsou součástí firmwaru UEFI a ovlivňují bootovací řetězec, je přechod pečlivě koordinován, aby se předešlo problémům se spouštěním.

Jednoduše řečeno, událost s ID 1801 je pouze kontrola stavu, která indikuje, že systém Windows vyhodnocuje vaše zařízení v rámci zavádění certifikátu Secure Boot. Zpráva „Pod dohledem“ odráží tento proces vyhodnocování. Neznamená problém s čipem TPM, poškození certifikátu Secure Boot ani selhání systému BIOS. Přestože je zaznamenána jako chyba, má čistě informativní charakter.

Přechod certifikátu Secure Boot probíhá ve dvou fázích. Nejprve si Windows 11 (nebo 10) stáhne a připraví nový certifikát v operačním systému. Později, po kontrole kompatibility a ověření, je certifikát zapsán do firmwaru systému a aktivován.

Zařízení mohou po určitou dobu setrvat mezi těmito dvěma fázemi, a proto se položky TPM-WMI mohou v Prohlížeči událostí i nadále zobrazovat, i když se nic neděje.

Zkontrolujte, zda má váš počítač certifikáty Secure Boot 2023, pomocí nástroje Zabezpečení systému Windows.

Kromě používání PowerShellu byla aktualizována i aplikace Zabezpečení systému Windows , která zobrazuje přesný stav certifikátů Secure Boot, jejichž platnost vyprší v roce 2026. 

Chcete-li zkontrolovat, zda má váš počítač nejnovější certifikáty Secure Boot, použijte tyto kroky:

  1. Otevřete Start .

  2. Vyhledejte Zabezpečení systému Windows a kliknutím na první výsledek otevřete aplikaci.

  3. V levém panelu klikněte na Zabezpečení zařízení .

  4. Potvrďte barvu a zprávu odznaku Secure Boot.

  5. (Možnost 1) Zelená znamená, že systém je plně aktualizován s nejnovějšími certifikáty a spouštěcími komponentami.

    Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

  6. (Možnost 2) Žlutá barva označuje, že aktualizace čeká na vydání nebo je omezena omezeními kompatibility.

    Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

  7. (Možnost 3) Červená znamená, že systém nemůže použít požadované aktualizace a vyžaduje zásah.

    Jak zkontrolovat, zda má váš počítač aktualizované certifikáty Secure Boot ve Windows 11, 10

Po dokončení kroků budete mít jasnější představu o tom, zda není nutná žádná akce, nebo zda je třeba pokračovat v ručním procesu aktualizace firmwaru systému novější verzí certifikátů Secure Boot.

Zpráva, kterou uvidíte v aplikaci Zabezpečení systému Windows, je vázána na aktualizace certifikátů doručované prostřednictvím služby Windows Update. Systém vyhodnocuje kompatibilitu firmwaru, ověřuje nasazení certifikátů a v reálném čase hlásí výsledek.

Společnost Microsoft tuto aktualizaci do aplikace Windows Update zavádí postupně. Pokud nemůžete určit stav certifikátů, použijte možnost PowerShell.

Také od května 2026 budou tyto stavy odrážet systémová oznámení, což zvýší viditelnost, když je vyžadována akce.

Zanechat komentář

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Vytvořte odblokovaný ISO soubor Windows 11 pomocí Tiny11 Builderu. Odeberte výchozí aplikace, přeskočte účet Microsoft a vytvořte čistý instalační obraz.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Build Windows 11 26120.3964 (KB5058496) přináší agenta umělé inteligence pro Nastavení, přidává možnost přenosu souborů pro aplikaci Zálohování a funkce Klikni a vytvoř rozšiřuje akce.

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Chcete-li upgradovat z Windows 11 24H2 na verzi 25H2 bez přeinstalace nebo dalších nástrojů, musíte ručně nainstalovat zprovozňovací balíček.

Jak zobrazit čas v Centru oznámení ve Windows 11

Jak zobrazit čas v Centru oznámení ve Windows 11

Chcete-li v systému Windows 11 povolit hodiny Centra oznámení, otevřete Nastavení > Čas a jazyk > Datum a čas a zapněte možnost Zobrazit čas v Centru oznámení.

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Chcete-li nainstalovat Windows 11 bez bloatwaru pomocí lokálního účtu na nepodporovaném hardwaru, integrujte soubor autounattend.xml do bootovacího USB disku.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Únik informací o Aluminium OS od Googlu odhaluje plnohodnotné desktopové rozhraní Androidu, multitasking, rozšíření pro Chrome a umělou inteligenci, potenciálního rivala Windows 11.

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft údajně po negativní reakci uživatelů omezuje používání platformy Copilot v aplikacích pro Windows 11, pozastavuje nové funkce umělé inteligence a přezkoumává stávající integrace.

Jak povolit režim hibernace ve Windows 11

Jak povolit režim hibernace ve Windows 11

Chcete-li v systému Windows 11 povolit režim spánku, spusťte příkaz powercfg /hibernate on a v Ovládacích panelech – Možnosti napájení povolte režim spánku pro spuštění.

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

AppControl přináší do Windows 11 třídenní historii systému, sledování spouštění aplikací a upozornění. Je lepší než Správce úloh? Zde je kompletní rozpis.

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Chcete-li v adresním řádku a na stránce nové karty v Chromu zakázat režim AI, musíte na stránce Vlajky zakázat čtyři klíčová nastavení. Zde je návod.