Microsoft selittää vuonna 2026 vanhenevien Secure Boot -sertifikaattien tietoturvariskit Windows 11:ssä

  • Vuonna 2011 käyttöön otetut Secure Boot -varmenteet vanhenevat kesäkuun 2026 lopulla.
  • Tietokoneet käynnistyvät normaalisti voimassaolon päättymisen jälkeen.
  • Laitteet, joilla ei ole päivitettyjä varmenteita, siirtyvät heikentyneeseen tietoturvatilaan.
  • Tuetut Windows 11- ja Windows 10 -laitteet vastaanottavat päivitykset automaattisesti Windows Updaten kautta.
  • Järjestelmät, joita ei tueta, mukaan lukien Windows 10 lokakuun 2025 jälkeen ilman ESU:ta, eivät saa uusia varmenteita.

Microsoft on vahvistanut , että vuonna 2011 käyttöön otetut alkuperäiset Secure Boot -varmenteet sisältävät laitteet alkavat vanhentua kesäkuun 2026 lopulla, mikä käynnistää merkittävän tietoturvapäivityksen, joka vaikuttaa lähes kaikkiin nykyaikaisiin tietokoneisiin.

Secure Boot on Unified Extensible Firmware Interfacen (UEFI) laiteohjelmistossa oleva suojausmekanismi, joka suoritetaan käynnistyksen yhteydessä ennen käyttöjärjestelmän lataamista. Tämän ominaisuuden tarkoituksena on varmistaa, että vain luotettua, digitaalisesti allekirjoitettua koodia voidaan suorittaa käynnistyksen aikana, estäen käynnistyspaketit ja muut matalan tason uhat, jotka yrittävät vaarantaa järjestelmän käynnistyksen aikana. Viimeisten 15 vuoden ajan tämä prosessi on perustunut laitteen laiteohjelmistoon upotettuihin varmenteisiin, mutta nämä varmenteet ovat nyt saavuttamassa suunnitellun elinkaarensa pään.

Lakkaako tietokoneesi toimimasta vuonna 2026?

 

Lyhyt vastaus on ei. Kun alkuperäiset varmenteet vanhenevat, tietokoneet käynnistyvät edelleen ja Windows 11 (tai 10) latautuu normaalisti. Sovellukset eivät kaadu yhtäkkiä, etkä näe välittömiä häiriöitä.

Järjestelmät, jotka eivät vastaanota päivitettyjä Secure Boot -varmenteita, siirtyvät kuitenkin heikentyneeseen suojaustilaan. Tämä ei kuitenkaan tarkoita, että tietokone olisi välittömästi vaarassa. Se tarkoittaa yksinkertaisesti sitä, että laite ei enää pysty hyväksymään tulevia päivityksiä Secure Boot -luottamusketjuun.

Ajan myötä, kun uusia käynnistystason haavoittuvuuksia löydetään, kyseiset järjestelmät eivät välttämättä pysty asentamaan uusia haavoittuvuuksia. Kone toimii edelleen, mutta sen käynnistyssuojaukset eivät enää kehity, ja tämä pitkän aikavälin rajoitus on todellinen huolenaihe.

Miksi Microsoft korvaa Secure Boot -sertifikaatit

Turvallisuussertifikaattien ei ole tarkoitus olla ikuisia. Turvallisuusstandardien kehittyessä salausavaimet ja luottamusankkurit on päivitettävä, jotta vanhentuneista tunnistetiedoista ei tule haavoittuvuuksia. Vuoden 2011 Secure Boot -sertifikaattien vanheneminen oli suunniteltu alusta alkaen.

Tämän siirtymän merkittävä tekijä on sen mittakaava. Secure Boot toimii laiteohjelmistotasolla, ei vain itse käyttöjärjestelmän sisällä. Sen päivittäminen vaatii koordinointia Windows 11:n (ja 10:n) ylläpidon, laiteohjelmiston ja laitteistovalmistajien välillä miljoonissa ainutlaatuisissa laitekokoonpanoissa maailmanlaajuisesti.

Microsoft kuvailee tätä yhdeksi suurimmista koordinoiduista tietoturvan ylläpitotoimista koko Windows-ekosysteemissä.

Näin päivitys toimitetaan

Ohjelmistojätti on jo alkanut julkaista uusia Secure Boot -sertifikaatteja säännöllisten kuukausittaisten päivitysten kautta tuettuihin versioihin, mukaan lukien Windows 11 ja 10. Useimmille kotikäyttäjille ja yrityksille, jotka antavat yrityksen hallita päivityksiä, päivitysten pitäisi tapahtua automaattisesti taustalla.

Joissakin tapauksissa, erityisesti vanhemmissa laitteistoissa, laitevalmistajalta saatetaan vaatia laiteohjelmistopäivitys, ennen kuin uudet varmenteet voidaan ottaa käyttöön onnistuneesti. Microsoft kertoo tehneensä tiivistä yhteistyötä suurten tietokonevalmistajien (kuten Dellin, HP:n ja Lenovon) kanssa laitteiden valmistelemiseksi siirtymää varten.

Lähes kaikki vuoden 2024 jälkeen valmistetut laitteet sisältävät jo päivitetyt sertifikaatit, ja lähes kaikki vuonna 2025 toimitetut järjestelmät on varustettu niillä suoraan pakkauksesta.

Entä Windows-versiot, joita ei tueta?

Laitteet, joissa on käyttöjärjestelmän tukemattomat versiot, eivät saa uusia Secure Boot -varmenteita Windows Updaten kautta. Tämä koskee myös Windows 10:tä sen tuen päättymisen jälkeen lokakuussa 2025, ellei laitetta ole rekisteröity jatkettuihin tietoturvapäivityksiin .

Nämä järjestelmät toimivat edelleen vuoden 2011 sertifikaattien vanhenemisen jälkeen, mutta niiden kyky vastaanottaa tulevia käynnistystason tietoturvaparannuksia on pysyvästi rajoitettu. Alustan kehittyessä tämä voi vähitellen lisätä altistumista uusille uhille ja yhteensopivuusongelmille uudempien laiteohjelmistojen, laitteistojen tai Windows-versioiden kanssa.

Mitä sinun pitäisi tehdä nyt?

Useimmille ihmisille turvallisin toimintatapa on yksinkertainen: muista pitää Windows 11 (ja 10) täysin ajan tasalla ja varmistaa, että laitteesi laiteohjelmisto on ajan tasalla tarkistamalla valmistajan tukisivu. Microsoft on ilmoittanut, että Windows Security -sovellukseen ilmestyy tulevina kuukausina lisätietoja varmennepäivitysten tilasta, mikä tarjoaa paremman näkyvyyden prosessiin.

Voit aina tarkistaa ja päivittää Secure Boot -varmenteen manuaalisesti näiden ohjeiden avulla.

Suuria tietokoneita hallinnoivien organisaatioiden tulisi käsitellä tätä validointi- ja käyttöönottosuunnittelutoimenpiteenä pikemminkin kuin yksinkertaisena Patch Tuesday -päivityksenä.

Jätä kommentti

Windows 11 25H2:n koontiversio 26220.6780 (KB5067103) tuo pimeän tilan Suoritus-valikkoon (kehitysversio)

Windows 11 25H2:n koontiversio 26220.6780 (KB5067103) tuo pimeän tilan Suoritus-valikkoon (kehitysversio)

KB5067103 (koontiversiot 26220.6780 ja 26120.6780) Windows 11:n tummalle tilalle Suoritus-toiminnossa, parantaa tekoälyagenttia asetuksissa ja julkaisee korjauksia.

LocalHost-ongelman korjaaminen päivityksen KB5066835 asentamisen jälkeen Windows 11:ssä

LocalHost-ongelman korjaaminen päivityksen KB5066835 asentamisen jälkeen Windows 11:ssä

Voit korjata localhost-ongelman Windows 11 -päivityksen KB5066835 asentamisen jälkeen lokakuussa 2025 suorittamalla Windows Updaten tai käyttämällä PowerShelliä.

Microsoft-tilin ohittaminen OOBE:ssa Windows 11:ssä – menetelmät, jotka toimivat edelleen

Microsoft-tilin ohittaminen OOBE:ssa Windows 11:ssä – menetelmät, jotka toimivat edelleen

Voit edelleen ohittaa Microsoft-tilin ja internetin Windows 11 OOBE:ssa rekisterin, WinJS:n, toimialueelle liittymisen, valvomattoman tiedoston ja työkalujen avulla.

Kuinka käyttää Tiny11 Builderia luodaksesi mukautetun Windows 11 ISO:n ilman roskapostisovelluksia

Kuinka käyttää Tiny11 Builderia luodaksesi mukautetun Windows 11 ISO:n ilman roskapostisovelluksia

Luo paisumaton Windows 11 ISO Tiny11 Builderilla. Poista oletussovellukset, jätä Microsoft-tili pois ja luo puhdas asennuskuva.

Kuinka käyttää Rufusta käynnistettävän Windows 11 25H2 USB:n luomiseen

Kuinka käyttää Rufusta käynnistettävän Windows 11 25H2 USB:n luomiseen

Luodaksesi Windows 11 25H2 USB -muistitikun Rufuksella, avaa työkalu, valitse "Avaa olemassa oleva" tai lataa ISO-tiedosto ja valitse mukautettu vaihtoehto. Ohjeet löytyvät täältä.

Windows 11:n koontiversio 26120.3964 (KB5058496) lisää uuden tekoälyagentin asetuksiin beetaversiossa

Windows 11:n koontiversio 26120.3964 (KB5058496) lisää uuden tekoälyagentin asetuksiin beetaversiossa

Windows 11:n koontiversio 26120.3964 (KB5058496) tuo mukanaan tekoälyagentin asetuksiin, lisää tiedostonsiirtovaihtoehdon varmuuskopiointisovellukseen ja laajentaa toimintoja napsauttamalla -toiminnolla.

Kuinka näyttää aika Ilmoituskeskuksessa Windows 11:ssä

Kuinka näyttää aika Ilmoituskeskuksessa Windows 11:ssä

Voit ottaa Ilmoituskeskuksen kellon käyttöön Windows 11:ssä avaamalla Asetukset > Aika ja kieli > Päivämäärä ja aika ja ottamalla käyttöön Näytä aika Ilmoituskeskuksessa -asetuksen.

Windows 11:n asentaminen ilman bloatware-ohjelmia ei-tuettuun laitteistoon

Windows 11:n asentaminen ilman bloatware-ohjelmia ei-tuettuun laitteistoon

Asentaaksesi Windows 11:n ilman bloatware-ohjelmia paikallisella tilillä tukemattomalla laitteistolla, integroi autounattend.xml-tiedosto käynnistettävään USB-muistitikulle.

Googlen uusi alumiinikäyttöjärjestelmävuoto vihjaa suoraan Windows 11 -kilpailijaan

Googlen uusi alumiinikäyttöjärjestelmävuoto vihjaa suoraan Windows 11 -kilpailijaan

Googlen Aluminium OS -vuoto paljastaa Androidin täyden työpöytäkäyttöliittymän, moniajon, Chrome-laajennukset ja tekoälyn, potentiaalisen Windows 11 -kilpailijan.

Microsoft lopettaa aggressiivisen tekoälyhyökkäyksen Windows 11:een – Copilot supistaa toimintaansa, takaisinveto harkitaan

Microsoft lopettaa aggressiivisen tekoälyhyökkäyksen Windows 11:een – Copilot supistaa toimintaansa, takaisinveto harkitaan

Microsoftin kerrotaan vähentävän Copilotin käyttöä Windows 11 -sovelluksissa käyttäjien vastareaktion jälkeen, keskeyttävän uusien tekoälyominaisuuksien kehittämisen ja tarkastelevan olemassa olevia integraatioita.