Microsoft selittää vuonna 2026 vanhenevien Secure Boot -sertifikaattien tietoturvariskit Windows 11:ssä

• Vuonna 2011 käyttöön otetut Secure Boot -varmenteet vanhenevat kesäkuun 2026 lopulla.
• Tietokoneet käynnistyvät normaalisti voimassaolon päättymisen jälkeen.
• Laitteet, joilla ei ole päivitettyjä varmenteita, siirtyvät heikentyneeseen tietoturvatilaan.
• Tuetut Windows 11- ja Windows 10 -laitteet vastaanottavat päivitykset automaattisesti Windows Updaten kautta.
• Järjestelmät, joita ei tueta, mukaan lukien Windows 10 lokakuun 2025 jälkeen ilman ESU:ta, eivät saa uusia varmenteita.

Microsoft on vahvistanut , että vuonna 2011 käyttöön otetut alkuperäiset Secure Boot -varmenteet sisältävät laitteet alkavat vanhentua kesäkuun 2026 lopulla, mikä käynnistää merkittävän tietoturvapäivityksen, joka vaikuttaa lähes kaikkiin nykyaikaisiin tietokoneisiin.

Secure Boot on Unified Extensible Firmware Interfacen (UEFI) laiteohjelmistossa oleva suojausmekanismi, joka suoritetaan käynnistyksen yhteydessä ennen käyttöjärjestelmän lataamista. Tämän ominaisuuden tarkoituksena on varmistaa, että vain luotettua, digitaalisesti allekirjoitettua koodia voidaan suorittaa käynnistyksen aikana, estäen käynnistyspaketit ja muut matalan tason uhat, jotka yrittävät vaarantaa järjestelmän käynnistyksen aikana. Viimeisten 15 vuoden ajan tämä prosessi on perustunut laitteen laiteohjelmistoon upotettuihin varmenteisiin, mutta nämä varmenteet ovat nyt saavuttamassa suunnitellun elinkaarensa pään.

Lakkaako tietokoneesi toimimasta vuonna 2026?

Lyhyt vastaus on ei. Kun alkuperäiset varmenteet vanhenevat, tietokoneet käynnistyvät edelleen ja Windows 11 (tai 10) latautuu normaalisti. Sovellukset eivät kaadu yhtäkkiä, etkä näe välittömiä häiriöitä.

Järjestelmät, jotka eivät vastaanota päivitettyjä Secure Boot -varmenteita, siirtyvät kuitenkin heikentyneeseen suojaustilaan. Tämä ei kuitenkaan tarkoita, että tietokone olisi välittömästi vaarassa. Se tarkoittaa yksinkertaisesti sitä, että laite ei enää pysty hyväksymään tulevia päivityksiä Secure Boot -luottamusketjuun.

Ajan myötä, kun uusia käynnistystason haavoittuvuuksia löydetään, kyseiset järjestelmät eivät välttämättä pysty asentamaan uusia haavoittuvuuksia. Kone toimii edelleen, mutta sen käynnistyssuojaukset eivät enää kehity, ja tämä pitkän aikavälin rajoitus on todellinen huolenaihe.

Miksi Microsoft korvaa Secure Boot -sertifikaatit

Turvallisuussertifikaattien ei ole tarkoitus olla ikuisia. Turvallisuusstandardien kehittyessä salausavaimet ja luottamusankkurit on päivitettävä, jotta vanhentuneista tunnistetiedoista ei tule haavoittuvuuksia. Vuoden 2011 Secure Boot -sertifikaattien vanheneminen oli suunniteltu alusta alkaen.

Tämän siirtymän merkittävä tekijä on sen mittakaava. Secure Boot toimii laiteohjelmistotasolla, ei vain itse käyttöjärjestelmän sisällä. Sen päivittäminen vaatii koordinointia Windows 11:n (ja 10:n) ylläpidon, laiteohjelmiston ja laitteistovalmistajien välillä miljoonissa ainutlaatuisissa laitekokoonpanoissa maailmanlaajuisesti.

Microsoft kuvailee tätä yhdeksi suurimmista koordinoiduista tietoturvan ylläpitotoimista koko Windows-ekosysteemissä.

Näin päivitys toimitetaan

Ohjelmistojätti on jo alkanut julkaista uusia Secure Boot -sertifikaatteja säännöllisten kuukausittaisten päivitysten kautta tuettuihin versioihin, mukaan lukien Windows 11 ja 10. Useimmille kotikäyttäjille ja yrityksille, jotka antavat yrityksen hallita päivityksiä, päivitysten pitäisi tapahtua automaattisesti taustalla.

Joissakin tapauksissa, erityisesti vanhemmissa laitteistoissa, laitevalmistajalta saatetaan vaatia laiteohjelmistopäivitys, ennen kuin uudet varmenteet voidaan ottaa käyttöön onnistuneesti. Microsoft kertoo tehneensä tiivistä yhteistyötä suurten tietokonevalmistajien (kuten Dellin, HP:n ja Lenovon) kanssa laitteiden valmistelemiseksi siirtymää varten.

Lähes kaikki vuoden 2024 jälkeen valmistetut laitteet sisältävät jo päivitetyt sertifikaatit, ja lähes kaikki vuonna 2025 toimitetut järjestelmät on varustettu niillä suoraan pakkauksesta.

Entä Windows-versiot, joita ei tueta?

Laitteet, joissa on käyttöjärjestelmän tukemattomat versiot, eivät saa uusia Secure Boot -varmenteita Windows Updaten kautta. Tämä koskee myös Windows 10:tä sen tuen päättymisen jälkeen lokakuussa 2025, ellei laitetta ole rekisteröity jatkettuihin tietoturvapäivityksiin .

Nämä järjestelmät toimivat edelleen vuoden 2011 sertifikaattien vanhenemisen jälkeen, mutta niiden kyky vastaanottaa tulevia käynnistystason tietoturvaparannuksia on pysyvästi rajoitettu. Alustan kehittyessä tämä voi vähitellen lisätä altistumista uusille uhille ja yhteensopivuusongelmille uudempien laiteohjelmistojen, laitteistojen tai Windows-versioiden kanssa.

Mitä sinun pitäisi tehdä nyt?

Useimmille ihmisille turvallisin toimintatapa on yksinkertainen: muista pitää Windows 11 (ja 10) täysin ajan tasalla ja varmistaa, että laitteesi laiteohjelmisto on ajan tasalla tarkistamalla valmistajan tukisivu. Microsoft on ilmoittanut, että Windows Security -sovellukseen ilmestyy tulevina kuukausina lisätietoja varmennepäivitysten tilasta, mikä tarjoaa paremman näkyvyyden prosessiin.

Voit aina tarkistaa ja päivittää Secure Boot -varmenteen manuaalisesti näiden ohjeiden avulla.

Suuria tietokoneita hallinnoivien organisaatioiden tulisi käsitellä tätä validointi- ja käyttöönottosuunnittelutoimenpiteenä pikemminkin kuin yksinkertaisena Patch Tuesday -päivityksenä.