Microsoft objašnjava sigurnosne rizike certifikata Secure Boot koji istječu 2026. na Windowsima 11

• Certifikati Secure Boot uvedeni 2011. istječu krajem lipnja 2026.
• Računala će se nastaviti normalno pokretati nakon isteka.
• Uređaji bez ažuriranih certifikata ulaze u stanje smanjene sigurnosti.
• Podržani uređaji sa sustavom Windows 11 i Windows 10 automatski primaju ažuriranja putem servisa Windows Update.
• Nepodržani sustavi, uključujući Windows 10 nakon listopada 2025. bez ESU-a, neće primiti nove certifikate.

Microsoft je potvrdio da će uređaji s originalnim Secure Boot certifikatima uvedenim 2011. početi istjecati krajem lipnja 2026., što će pokrenuti veliko sigurnosno ažuriranje koje utječe na gotovo svako moderno računalo.

Sigurno pokretanje (Secure Boot) je sigurnosni mehanizam dostupan u UEFI (Unified Extensible Firmware Interface) firmveru koji se pokreće pri pokretanju, prije nego što se operativni sustav učita. Svrha ove značajke je provjeriti može li se tijekom pokretanja izvršiti samo pouzdan, digitalno potpisan kod, blokirajući bootkitove i druge prijetnje niske razine koje pokušavaju ugroziti sustav tijekom pokretanja. Posljednjih 15 godina ovaj se proces oslanjao na certifikate ugrađene u firmver uređaja, ali ti certifikati sada bliže kraju svog planiranog životnog ciklusa.

Hoće li vam računalo prestati raditi 2026. godine?

Kratak odgovor je ne. Kada isteknu izvorni certifikati, računala će se nastaviti pokretati, a Windows 11 (ili 10) će se nastaviti normalno učitavati. Aplikacije neće iznenada otkazati i nećete vidjeti trenutni prekid rada.

Međutim, sustavi koji ne prime ažurirane certifikate Secure Boot-a ući će u stanje smanjene sigurnosti. Međutim, to ne znači da je računalo odmah nesigurno. To jednostavno znači da uređaj više neće moći prihvaćati buduća ažuriranja lanca povjerenja Secure Boot-a.

Vremenom, kako se otkrivaju nove ranjivosti na razini pokretanja, ti sustavi možda neće moći instalirati nove mjere ublažavanja. Stroj nastavlja raditi, ali njegove zaštite pri pokretanju više se ne razvijaju, a to dugoročno ograničenje je pravi problem.

Zašto Microsoft zamjenjuje certifikate Secure Boot-a

Sigurnosni certifikati nisu namijenjeni da traju vječno. Kako se sigurnosni standardi razvijaju, ključevi za šifriranje i sidra povjerenja moraju se ažurirati kako bi se spriječilo da zastarjeli vjerodajnice postanu ranjivosti. Istek certifikata Secure Boot iz 2011. planiran je od samog početka.

Ono što ovaj prijelaz čini značajnim jest opseg. Secure Boot djeluje na razini firmvera, ne samo unutar samog operativnog sustava. Njegovo ažuriranje zahtijeva koordinaciju između servisiranja sustava Windows 11 (i 10), firmvera uređaja i proizvođača hardvera na milijunima jedinstvenih konfiguracija uređaja diljem svijeta.

Microsoft ovo opisuje kao jedan od najvećih koordiniranih napora za održavanje sigurnosti u cijelom Windows ekosustavu.

Kako se ažuriranje isporučuje

Softverski div već je počeo uvoditi nove Secure Boot certifikate putem redovitih mjesečnih ažuriranja za podržane verzije, uključujući Windows 11 i 10. Za većinu kućnih korisnika i tvrtki koje tvrtki dopuštaju upravljanje ažuriranjima, ažuriranja bi se trebala automatski događati u pozadini.

U nekim slučajevima, posebno na starijem hardveru, prije uspješne primjene novih certifikata može biti potrebno ažuriranje firmvera od strane proizvođača uređaja. Microsoft tvrdi da je blisko surađivao s glavnim proizvođačima računala (kao što su Dell, HP i Lenovo) kako bi pripremio uređaje za prijelaz.

Gotovo svi uređaji proizvedeni od 2024. već uključuju ažurirane certifikate, a gotovo svi sustavi isporučeni 2025. imaju ih odmah po instalaciji.

Što je s nepodržanim verzijama sustava Windows?

Uređaji koji koriste nepodržane verzije operativnog sustava neće primiti nove certifikate Secure Boot putem Windows Updatea. To uključuje Windows 10 nakon završetka podrške u listopadu 2025., osim ako uređaj nije upisan u proširena sigurnosna ažuriranja .

Ti će sustavi nastaviti funkcionirati i nakon isteka certifikata iz 2011., ali će im mogućnost primanja budućih sigurnosnih poboljšanja na razini pokretanja sustava ostati trajno ograničena. Kako se platforma razvija, to može postupno povećavati izloženost novim prijetnjama i problemima kompatibilnosti s novijim firmverom, hardverom ili izdanjima sustava Windows.

Što biste sada trebali učiniti?

Za većinu ljudi, najsigurniji postupak je jednostavan, ne zaboravite redovno ažurirati Windows 11 (i 10) i osigurati da je firmver vašeg uređaja ažuran provjerom stranice za podršku proizvođača. Microsoft je naznačio da će se dodatne informacije o statusu ažuriranja certifikata pojaviti u aplikaciji Sigurnost sustava Windows u nadolazećim mjesecima, pružajući bolji uvid u proces.

Certifikat Secure Boot uvijek možete ručno provjeriti i ažurirati pomoću ovih uputa.

Organizacije koje upravljaju velikim brojem računala trebale bi ovo tretirati kao vježbu validacije i planiranja implementacije, a ne kao jednostavno ažuriranje u utorak zakrpa.