Η Microsoft αντικαθιστά τα πιστοποιητικά Secure Boot που λήγουν στα Windows 11 – Όλες οι λεπτομέρειες και πώς να ενημερώσετε τα δικά σας

• Η Ασφαλής εκκίνηση αποτρέπει το κακόβουλο λογισμικό χαμηλού επιπέδου από το να θέσει σε κίνδυνο τη διαδικασία εκκίνησης των Windows 11.
• Τα αρχικά πιστοποιητικά Secure Boot του 2011 της Microsoft λήγουν τον Ιούνιο του 2026 και τα νέα πιστοποιητικά του 2023 επεκτείνουν την προστασία έως το 2053.
• Οι συσκευές που αγοράστηκαν το 2024 και αργότερα πιθανότατα διαθέτουν ήδη τα πιο πρόσφατα πιστοποιητικά. Άλλες τα λαμβάνουν σταδιακά μέσω του Windows Update.
• Μπορείτε να ελέγξετε την κατάσταση του πιστοποιητικού σας χρησιμοποιώντας το PowerShell και να ενημερώσετε χειροκίνητα τα πιστοποιητικά χρησιμοποιώντας τροποποιήσεις μητρώου και προγραμματισμένες εργασίες, εάν οι ενημερώσεις δεν έχουν φτάσει αυτόματα.

Το πιστοποιητικό για τη μονάδα ασφαλούς εκκίνησης του υπολογιστή σας λήγει τον Ιούνιο του 2026. Ξεκινώντας με την Ενημέρωση ασφαλείας του Ιανουαρίου 2026 , η Microsoft έχει ξεκινήσει μια σταδιακή κυκλοφορία ενός νέου πιστοποιητικού που θα επιτρέπει στον υπολογιστή σας να συνεχίζει να εκκινείται σωστά και να λαμβάνει ενημερώσεις ασφαλείας.

Στα Windows 11 , η Ασφαλής εκκίνηση είναι μια λειτουργία ασφαλείας που διατίθεται στο υλικολογισμικό Unified Extensible Firmware Interface (UEFI) και αποτρέπει τις μη εξουσιοδοτημένες τροποποιήσεις σε κρίσιμα αρχεία συστήματος κατά την εκκίνηση. Ως αποτέλεσμα, διασφαλίζει ότι η συσκευή εκκινείται χρησιμοποιώντας μόνο λογισμικό που εμπιστεύεται ο κατασκευαστής.

Με άλλα λόγια, το Secure Boot βοηθά στην προστασία των συσκευών σας από κακόβουλο λογισμικό χαμηλού επιπέδου (όπως bootkits και rootkits) που μπορεί να μολύνει τη διαδικασία εκκίνησης και να αποκτήσει τον έλεγχο του υπολογιστή σας πριν καν φορτώσει το λειτουργικό σύστημα και το λογισμικό προστασίας από ιούς.

Κατανόηση των πιστοποιητικών ασφαλούς εκκίνησης

Στο πλαίσιο της διαδικασίας, η λειτουργία χρησιμοποιεί κρυπτογραφικά κλειδιά (γνωστά ως αρχές έκδοσης πιστοποιητικών (CA)) για να επικυρώσει ότι οι μονάδες υλικολογισμικού προέρχονται από αξιόπιστη πηγή, βοηθώντας στην αποτροπή της εκτέλεσης κακόβουλου λογισμικού κατά τα πρώτα στάδια της εκκίνησης της συσκευής.

Τώρα, τα πιστοποιητικά Secure Boot είχαν πάντα ημερομηνίες λήξης, καθώς βοηθούν να διασφαλιστεί ότι ο υπολογιστής σας συνεχίζει να λαμβάνει ενημερώσεις ασφαλείας και να εκκινείται σωστά. Αυτός είναι ο λόγος για τον οποίο πρέπει να εγκαταστήσετε τα πιστοποιητικά του 2023 πριν αρχίσουν να λήγουν οι άδειες έκδοσης πιστοποιητικών του 2011 τον Ιούνιο του 2026.

Εάν έχετε αγοράσει μια συσκευή που κατασκευάστηκε το 2024 (ή αργότερα), πιθανότατα τα πιο πρόσφατα πιστοποιητικά είναι ήδη εγκατεστημένα. Ωστόσο, για τους υπόλοιπους υπολογιστές, η Microsoft βρίσκεται αυτή τη στιγμή στη διαδικασία κυκλοφορίας των νέων πιστοποιητικών Secure Boot μέσω του Windows Update.

Στην «Ενημέρωση ασφαλείας 2026-01 (KB5074109) (26200.7623)» που κυκλοφόρησε στις 13 Ιανουαρίου 2026, ο γίγαντας λογισμικού σημείωσε ότι οι ενημερώσεις περιλαμβάνουν πλέον ένα υποσύνολο δεδομένων στόχευσης συσκευών υψηλής αξιοπιστίας που προσδιορίζουν συσκευές που είναι επιλέξιμες για αυτόματη λήψη νέων πιστοποιητικών Secure Boot. Οι συσκευές θα λαμβάνουν τα νέα πιστοποιητικά μόνο αφού επιδείξουν επαρκή σήματα επιτυχημένης ενημέρωσης, διασφαλίζοντας μια ασφαλή και σταδιακή ανάπτυξη.

Αυτό σημαίνει ότι δεν χρειάζεται να κάνετε καμία χειροκίνητη ενέργεια για να ενημερώσετε την Ασφαλή εκκίνηση , εκτός από το να επιτρέψετε στο σύστημα να συνεχίσει να λαμβάνει ενημερώσεις. Τουλάχιστον από τώρα μέχρι να γίνει διαθέσιμη η Ενημέρωση ασφαλείας του Ιουνίου 2026.

Ελέγξτε την ημερομηνία λήξης του πιστοποιητικού ασφαλούς εκκίνησης

Δεδομένου ότι δεν θα λάβετε ειδοποίηση ότι ο υπολογιστής σας περιλαμβάνει πλέον τις πιο πρόσφατες αρχές έκδοσης πιστοποιητικών, είναι σημαντικό να ελέγξετε αν η συσκευή σας χρειάζεται ακόμα ενημέρωση.

Τα Windows 11 δεν διαθέτουν εγγενή εντολή για την εμφάνιση της ημερομηνίας λήξης του υλικολογισμικού που είναι αναγνώσιμη από τον άνθρωπο. Ωστόσο, μπορείτε να ελέγξετε αν έχετε τα "ενημερωμένα" πιστοποιητικά του 2023 (τα οποία αντικαθιστούν αυτά που λήγουν το 2026) χρησιμοποιώντας τα εξής βήματα:

Ανοίξτε το PowerShell (admin) και εκτελέστε:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ταιριάζει 'Windows UEFI CA 2023'

• Σωστό: Έχετε το νέο πιστοποιητικό (ισχύει έως το 2053).
• Λάθος: Πιθανότατα εξακολουθείτε να έχετε το πιστοποιητικό του 2011 (που λήγει το 2026).

Λήξη πιστοποιητικού ασφαλούς εκκίνησης για έλεγχο PowerShell / Εικόνα: Mauro Huculak

Σχεδόν όλες οι σύγχρονες αλυσίδες Secure Boot βασίζονται σε πιστοποιητικά της Microsoft του 2011, τα οποία έχουν τις ακόλουθες ημερομηνίες λήξης :

• Microsoft Corporation KEK CA 2011 (24 Ιουνίου 2026). 
• Microsoft Corporation UEFI CA 2011 (27 Ιουνίου 2026).
• Microsoft Option ROM UEFI CA 2011 (27 Ιουνίου 2026).
• Παραγωγή PCA 2011 των Microsoft Windows (19 Οκτωβρίου 2026).

Για αναφορά, αυτό είναι που κάνει κάθε πιστοποιητικό:

• Πιστοποιητικό KEK: Άγκυρα εμπιστοσύνης που επιτρέπει την ενημέρωση βάσεων δεδομένων υπογραφών Secure Boot (DB/DBX).
• Πιστοποιητικά UEFI CA: Να εμπιστεύεστε τις υπογραφές των προγραμμάτων εκκίνησης και των στοιχείων υλικολογισμικού (συμπεριλαμβανομένων των εφαρμογών EFI τρίτων κατασκευαστών).
• Option ROM CA: Θεωρεί αξιόπιστες τις μονάδες option ROM του υλικολογισμικού.
• Microsoft Windows Production PCA 2011: Διασφαλίζει ότι το bootloader των Windows και τα σχετικά δυαδικά αρχεία είναι αξιόπιστα από το υλικολογισμικό στην περιοχή Ασφαλής εκκίνηση.

Ενημέρωση πιστοποιητικών ασφαλούς εκκίνησης στα Windows 11

Εάν τα πιστοποιητικά σας πλησιάζουν στη λήξη τους, η Microsoft και ο κατασκευαστής του υπολογιστή σας (OEM) θα προωθήσουν αυτόματα ενημερώσεις υλικολογισμικού ή ενημερώσεις "DBX" μέσω του Windows Update ή ενημερώσεων συστήματος για την εγγραφή των νέων πιστοποιητικών CA 2023. Ωστόσο, μπορείτε να ενημερώσετε χειροκίνητα την Ασφαλή εκκίνηση.

Προειδοποίηση: Πριν προχωρήσετε, βεβαιωθείτε ότι έχετε αποθηκεύσει ένα κλειδί αποκατάστασης BitLocker και ότι το BIOS (UEFI) σας είναι ενημερωμένο. Εάν το υλικολογισμικό του υπολογιστή σας δεν υποστηρίζει τα νέα πιστοποιητικά, η εκκίνηση του υπολογιστή σας ενδέχεται να μην είναι δυνατή μετά την ενημέρωση. Συνιστάται επίσης να δημιουργήσετε ένα πλήρες αντίγραφο ασφαλείας του υπολογιστή σας πριν προχωρήσετε.

Ανοίξτε το PowerShell (admin) και εκτελέστε:

reg προσθήκη HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Αυτή η εντολή ορίζει το κλειδί μητρώου που δίνει εντολή στο λειτουργικό σύστημα να αναπτύξει όλα τα απαιτούμενα πιστοποιητικά (συμπεριλαμβανομένου του διαχειριστή εκκίνησης με υπογραφή PCA 2023).

Η τιμή 0x5944είναι ο κωδικός "πλήρους μετριασμού" που ενεργοποιεί όλες τις σχετικές ενημερώσεις πιστοποιητικών.

Τα Windows 11 έχουν μια ενσωματωμένη εργασία που επεξεργάζεται αυτές τις αλλαγές πιστοποιητικών και μπορείτε να την ενεργοποιήσετε χειροκίνητα για να αποφύγετε την αναμονή 12 ωρών με την ακόλουθη εντολή:

Έναρξη-ΠρογραμματισμένηΕργασία -ΌνομαΕργασίας "\Microsoft\Windows\PI\Secure-Boot-Update"

Ενημερώσεις PowerShell Πιστοποιητικό ασφαλούς εκκίνησης / Εικόνα: Mauro Huculak

Η ενημέρωση συνήθως απαιτεί δύο επανεκκινήσεις για να εφαρμοστεί πλήρως. Μετά την πρώτη επανεκκίνηση, το σύστημα ενημερώνει τον διαχειριστή εκκίνησης. Μετά τη δεύτερη, ολοκληρώνει την εγγραφή πιστοποιητικού στη βάση δεδομένων UEFI.

Μετά τις επανεκκινήσεις, μπορείτε να επαληθεύσετε εάν το "UEFI CA 2023" υπάρχει πλέον στη βάση δεδομένων σας εκτελώντας αυτήν την εντολή PowerShell (ως διαχειριστής):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ταιριάζει 'Windows UEFI CA 2023'

• Αλήθεια: Το σύστημά σας είναι πλέον ασφαλές με τα νέα πιστοποιητικά.
• False: Εάν παραμένει false μετά από αρκετές επανεκκινήσεις, το υλικολογισμικό της μητρικής πλακέτας ενδέχεται να είναι πολύ παλιό για να αποδεχτεί τη νέα μορφή πιστοποιητικού. Ελέγξτε την ιστοσελίδα του κατασκευαστή σας για μια ενημέρωση BIOS που σχετίζεται με την "Ασφαλή εκκίνηση".

Εάν το BitLocker είναι ενεργό, ίσως χρειαστεί να απενεργοποιήσετε προσωρινά την κρυπτογράφησηSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) προτού το υλικολογισμικό μπορέσει να εγγράψει με επιτυχία τα νέα κλειδιά στη συσκευή.