Na některých zařízeních s Windows 11 a Windows 10 vyprší platnost certifikátů Secure Boot, které byly poprvé vydány v roce 2011, v červnu 2026. Přestože je společnost Microsoft aktivně nahrazuje certifikáty z roku 2023, měli byste si ověřit, zda váš systém již přešel na novější certifikáty, abyste předešli narušení spouštění nebo zabezpečení.
Secure Boot je ochranná funkce založená na firmwaru v rozhraní UEFI (Unified Extensible Firmware Interface), která zajišťuje, že zařízení načítá pouze software digitálně podepsaný a důvěryhodný výrobcem. Chrání proces spouštění tím, že zabraňuje neoprávněným změnám kritických komponent spouštění před spuštěním operačního systému.
K dosažení tohoto cíle používá Secure Boot kryptografické klíče, známé jako certifikační autority (CA), k ověřování modulů firmwaru a bootloaderů. Tyto certifikáty vytvářejí řetězec důvěryhodnosti, který blokuje spuštění škodlivého kódu během raného spuštění.
Stejně jako všechny digitální certifikáty mají i certifikační autority Secure Boot definovaná data platnosti. Certifikáty z roku 2011, jejichž platnost vyprší v červnu 2026, znamenají, že systémy musí mít nainstalované novější certifikáty z roku 2023, aby mohly nadále přijímat aktualizace a normálně se spouštět bez chyb ověření důvěryhodnosti.
Protože digitální certifikáty mají data vypršení platnosti, musí systémy nainstalovat certifikáty z roku 2023 před vypršením platnosti certifikačních autorit z roku 2011 v červnu 2026, aby se mohly i nadále správně spouštět a přijímat aktualizace.
Zařízení zakoupená v roce 2024 nebo později obvykle již obsahují nové certifikáty. Starší hardware společnost Microsoft distribuuje prostřednictvím služby Windows Update.
Společnost Microsoft již identifikuje a automaticky aktualizuje certifikace Secure Boot prostřednictvím pravidelných aktualizací systému, takže kromě ponechání zapnuté služby Windows Update a instalace měsíčních aktualizací zabezpečení před termínem v červnu 2026 není nutný žádný ruční zásah . Vždy je však dobré zkontrolovat a zjistit, zda má vaše zařízení příslušné certifikáty.
V této příručce popíšu kroky, jak zkontrolovat, zda jsou certifikáty Secure Boot 2023 již nainstalovány ve vašem počítači.
Chcete-li zkontrolovat, zda máte „aktualizované“ certifikáty Secure Boot z roku 2023 (které nahrazují certifikáty, jejichž platnost vyprší v roce 2026), postupujte takto:
Otevřete Start ve Windows 11.
Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.
Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení kroků, pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Pokud je výstup „False“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026).
Certifikáty Secure Boot 2011 vyprší v roce 2026 – co každý certifikát dělá
Téměř všechny moderní řetězce Secure Boot se spoléhají na certifikáty společnosti Microsoft z roku 2011, které mají následující data vypršení platnosti :
Pro informaci, toto je to, co každý certifikát dělá:
Proč se v prohlížeči událostí zobrazuje událost s ID události 1801 (a proč se nejedná o chybu)
Nakonec si pravděpodobně všimnete, že se u zdroje „TPM-WMI (Microsoft-Windows-TPM-WMI)“ zobrazí ID události 1801 se zprávou „BucketConfidenceLevel: Ve sledování – Potřebná další data“ .
I když to vypadá jako chyba, nejedná se o selhání. Tato položka znamená, že operační systém detekoval aktualizované certifikáty Secure Boot, ale dosud je neaplikoval na firmware.
Zařízení je ve fázi testování a ověřování, zatímco Microsoft postupně zavádí aktualizaci. Protože klíče Secure Boot jsou součástí firmwaru UEFI a ovlivňují bootovací řetězec, je přechod pečlivě koordinován, aby se předešlo problémům se spouštěním.
Jednoduše řečeno, událost s ID 1801 je pouze kontrola stavu, která indikuje, že systém Windows vyhodnocuje vaše zařízení v rámci zavádění certifikátu Secure Boot. Zpráva „Pod dohledem“ odráží tento proces vyhodnocování. Neznamená problém s čipem TPM, poškození certifikátu Secure Boot ani selhání systému BIOS. Přestože je zaznamenána jako chyba, má čistě informativní charakter.
Přechod certifikátu Secure Boot probíhá ve dvou fázích. Nejprve si Windows 11 (nebo 10) stáhne a připraví nový certifikát v operačním systému. Později, po kontrole kompatibility a ověření, je certifikát zapsán do firmwaru systému a aktivován.
Zařízení mohou po určitou dobu setrvat mezi těmito dvěma fázemi, a proto se položky TPM-WMI mohou v Prohlížeči událostí i nadále zobrazovat, i když se nic neděje.
Kromě používání PowerShellu byla aktualizována i aplikace Zabezpečení systému Windows , která zobrazuje přesný stav certifikátů Secure Boot, jejichž platnost vyprší v roce 2026.
Chcete-li zkontrolovat, zda má váš počítač nejnovější certifikáty Secure Boot, použijte tyto kroky:
Otevřete Start .
Vyhledejte Zabezpečení systému Windows a kliknutím na první výsledek otevřete aplikaci.
V levém panelu klikněte na Zabezpečení zařízení .
Potvrďte barvu a zprávu odznaku Secure Boot.
(Možnost 1) Zelená znamená, že systém je plně aktualizován s nejnovějšími certifikáty a spouštěcími komponentami.
(Možnost 2) Žlutá barva označuje, že aktualizace čeká na vydání nebo je omezena omezeními kompatibility.
(Možnost 3) Červená znamená, že systém nemůže použít požadované aktualizace a vyžaduje zásah.
Po dokončení kroků budete mít jasnější představu o tom, zda není nutná žádná akce, nebo zda je třeba pokračovat v ručním procesu aktualizace firmwaru systému novější verzí certifikátů Secure Boot.
Zpráva, kterou uvidíte v aplikaci Zabezpečení systému Windows, je vázána na aktualizace certifikátů doručované prostřednictvím služby Windows Update. Systém vyhodnocuje kompatibilitu firmwaru, ověřuje nasazení certifikátů a v reálném čase hlásí výsledek.
Společnost Microsoft tuto aktualizaci do aplikace Windows Update zavádí postupně. Pokud nemůžete určit stav certifikátů, použijte možnost PowerShell.
Také od května 2026 budou tyto stavy odrážet systémová oznámení, což zvýší viditelnost, když je vyžadována akce.
Chcete-li odinstalovat funkci Recall v systému Windows 11, otevřete Nastavení > Systém > Volitelné funkce > Další funkce systému Windows a zrušte zaškrtnutí políčka Recall.
Naučte se, jak používat přepínač Robocopys /MT ve Windows 11 ke kopírování souborů rychleji než v Průzkumníku souborů s vícevláknovými přenosy pro SSD disky a sítě.
Chcete-li vytvořit bootovací USB disk pro instalaci Windows 11, můžete použít Rufus, Ventoy, příkazový řádek nebo nástroj pro tvorbu médií. Zde je návod.
Build 17634 pro Windows 10 verze 1809 se nyní zavádí pro počítače registrované v režimu Fast Ring s možností Přeskočit vpřed. V této nové aktualizaci Redstone 5 společnost Microsoft představuje novou funkci vyhledávání v Kalendáři a aktualizovanou funkci Cortana Show Me s podporou hlasových příkazů. Zde je vše, co potřebujete vědět...
Chcete-li resetovat systém Windows 11 na uchovávání souborů, otevřete Nastavení > Obnovení, klikněte na Obnovit počítač, vyberte Zachovat soubory a poté Místní přeinstalace nebo Stažení z cloudu.
Jak spustit systém Windows 11 z USB pomocí spouštěcí nabídky, Nastavení nebo UEFI. Jednoduché kroky pro přístup k nástrojům pro obnovení nebo instalaci operačního systému.
Společnost Microsoft přepracovává nabídku Start ve Windows 11 s lepšími možnostmi přizpůsobení, rychlejším výkonem a novými ovládacími prvky pro změnu velikosti a zjednodušení rozvržení.
Aktualizace KB5083726 (sestavení 26300.8276) pro Windows 11 přichází s vylepšeními Nastavení, Průzkumníka souborů a Windows Hello. Zde je vše, co potřebujete vědět.
Chcete-li povolit ochranu správce v systému Windows 11, můžete použít Editor zásad skupiny, registr nebo aplikaci Zabezpečení systému Windows. Zde je návod.
Systém Windows 11 23H2 již není podporován, proto upgradujte na systém Windows 11 25H2 mpw pomocí souboru ISO, Průvodce instalací nebo služby Windows Update.
