Kako provjeriti ima li vaše računalo ažurirane certifikate za sigurno pokretanje u sustavima Windows 11 i 10

• Microsoftovi certifikati za Secure Boot iz 2011. istječu u lipnju 2026.
• Novi certifikati Windows UEFI CA 2023 produžuju zaštitu do 2053.
• Uređaji kupljeni 2024. ili kasnije obično već uključuju ažurirane certifikate.
• Starija računala postupno primaju ažuriranje putem servisa Windows Update.
• Status certifikata možete provjeriti pomoću PowerShell naredbe.

Na nekim uređajima sa sustavom Windows 11 i Windows 10, certifikati Secure Boot, prvi put izdani 2011., trebali bi isteći u lipnju 2026. Iako ih Microsoft aktivno zamjenjuje certifikatima iz 2023., trebali biste provjeriti je li vaš sustav već prešao na novije certifikate kako biste spriječili prekide pri pokretanju ili sigurnost.

Sigurno pokretanje (Secure Boot) je zaštitna značajka temeljena na firmveru u Unified Extensible Firmware Interfaceu (UEFI) koja osigurava da uređaj učitava samo softver koji je digitalno potpisao i kojem je proizvođač vjerovao. Štiti proces pokretanja sprječavanjem neovlaštenih promjena kritičnih komponenti za pokretanje prije nego što se operativni sustav učita.

Da bi se to postiglo, Secure Boot koristi kriptografske ključeve, poznate kao ovlaštenja za certifikate (CA), za validaciju modula firmvera i bootloadera. Ti certifikati stvaraju lanac povjerenja koji blokira pokretanje zlonamjernog koda tijekom ranog pokretanja.

Kao i svi digitalni certifikati, Secure Boot CA imaju definirane datume isteka. Certifikati iz 2011. kojima ističe rok valjanosti u lipnju 2026. znače da sustavi moraju imati instalirane novije certifikate iz 2023. kako bi nastavili primati ažuriranja i normalno se pokretati bez pogrešaka u provjeri pouzdanosti.

Budući da digitalni certifikati imaju datume isteka, sustavi moraju instalirati certifikate iz 2023. prije isteka certifikata iz 2011. u lipnju 2026. kako bi se nastavili ispravno pokretati i primati ažuriranja.

Uređaji kupljeni 2024. ili kasnije obično već uključuju nove certifikate. Za stariji hardver, Microsoft ga distribuira putem Windows Updatea.

Microsoft već identificira i automatski ažurira certifikate Secure Boot putem redovitih ažuriranja sustava, tako da nije potrebna nikakva ručna radnja osim održavanja Windows Updatea omogućenim i instaliranja mjesečnih sigurnosnih ažuriranja prije roka u lipnju 2026. Međutim, uvijek je dobra ideja provjeriti i razumjeti ima li vaš uređaj odgovarajuće certifikate.

U ovom ću vodiču opisati korake za provjeru jesu li certifikati Secure Boot 2023 već instalirani na vašem računalu.

• Provjerite ima li vaše računalo certifikate Secure Boot 2023 pomoću PowerShella
• Provjerite ima li vaše računalo certifikate Secure Boot 2023 pomoću programa Windows Security

Provjerite ima li vaše računalo certifikate Secure Boot 2023 pomoću PowerShella

Da biste provjerili imate li „ažurirane“ certifikate Secure Boot iz 2023. (koji zamjenjuju one koji istječu 2026.), slijedite ove korake:

1. Otvorite Start u sustavu Windows 11.

    

    

2. Potražite PowerShell (ili Terminal ), desnom tipkom miša kliknite gornji rezultat i odaberite opciju Pokreni kao administrator.

3. Upišite ovu naredbu za provjeru datuma isteka certifikata Secure Boot i pritisnite Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

Nakon što dovršite korake, ako je rezultat "True" (Istina), imate novi certifikat (važeći do 2053.). Ako je rezultat "False" (Netočno), vjerojatno još uvijek koristite certifikat iz 2011. (koji istječe 2026.).

Certifikati Secure Boot 2011 istječu 2026. – što svaki certifikat radi

Gotovo svi moderni lanci Secure Boot-a oslanjaju se na Microsoftove certifikate iz 2011., koji imaju sljedeće datume isteka :

• Microsoft Corporation KEK CA 2011 (24. lipnja 2026.). 
• Microsoft Corporation UEFI CA 2011 (27. lipnja 2026.).
• Microsoft Option ROM UEFI CA 2011 (27. lipnja 2026.).
• Microsoft Windows Production PCA 2011 (19. listopada 2026.).

Za referencu, ovo je ono što svaki certifikat radi:

• KEK certifikat: Sidro povjerenja koje omogućuje ažuriranje baza podataka potpisa Secure Boota (DB/DBX).
• UEFI CA certifikati: Vjerujte potpisima bootloadera i komponenti firmvera (uključujući EFI aplikacije trećih strana).
• Option ROM CA: Vjeruje modulima ROM-a s opcijom firmvera.
• Microsoft Windows Production PCA 2011: Osigurava da firmver u Secure Bootu vjeruje Windows bootloaderu i povezanim binarnim datotekama.

Ako se vaši certifikati bliže isteku, Microsoft i proizvođač vašeg računala (OEM) automatski će objaviti ažuriranja firmvera ili "DBX" ažuriranja putem Windows Updatea ili ažuriranja sustava kako bi se registrirali novi CA certifikati iz 2023. Uvijek možete ručno instalirati nove certifikate Secure Boot .

Zašto se ID događaja 1801 pojavljuje u pregledniku događaja (i zašto to nije greška)

Konačno, vjerojatno ćete primijetiti da se ID događaja 1801 pojavljuje za izvor „TPM-WMI (Microsoft-Windows-TPM-WMI)“ s porukom „BucketConfidenceLevel: Pod promatranjem – Potrebno je više podataka“ .

Iako izgleda kao greška, nije riječ o kvaru. Ovaj unos znači da je operativni sustav otkrio ažurirane certifikate Secure Boot-a, ali ih još nije primijenio na firmver.

Uređaj je u fazi testiranja i validacije dok Microsoft postupno uvodi ažuriranje. Budući da se ključevi Secure Boot nalaze u UEFI firmveru i utječu na lanac pokretanja, prijelaz je pažljivo koordiniran kako bi se izbjegli problemi s pokretanjem.

Jednostavno rečeno, ID događaja 1801 je samo provjera statusa koja pokazuje da Windows procjenjuje vaš uređaj kao dio implementacije certifikata Secure Boot. Poruka "Pod nadzorom" odražava taj proces procjene. Ne ukazuje na problem s TPM-om, oštećenje Secure Boot-a ili kvar BIOS-a. Iako je zabilježen kao pogreška, isključivo je informativne prirode.

Prijelaz certifikata Secure Boot događa se u dvije faze. Prvo, Windows 11 (ili 10) preuzima i postavlja novi certifikat unutar operativnog sustava. Kasnije, nakon provjere kompatibilnosti i validacije, certifikat se zapisuje u firmver sustava i aktivira.

Uređaji mogu ostati između ove dvije faze određeno vrijeme, zbog čega se TPM-WMI unosi mogu nastaviti pojavljivati ​​u Pregledniku događaja iako je sve u redu.

Provjerite ima li vaše računalo certifikate Secure Boot 2023 pomoću programa Windows Security

Osim korištenja PowerShella, aplikacija Sigurnost sustava Windows ažurirana je kako bi prikazivala točno stanje certifikata Secure Boot koji istječu 2026. godine. 

Da biste provjerili ima li vaše računalo najnovije certifikate za Secure Boot, slijedite ove korake:

1. Otvorite Start .

2. Potražite Sigurnost sustava Windows i kliknite prvi rezultat da biste otvorili aplikaciju.

3. Kliknite na Sigurnost uređaja u lijevom oknu.

4. Potvrdite boju i poruku značke Secure Boot.

5. (Opcija 1) Zelena boja znači da je sustav u potpunosti ažuriran najnovijim certifikatima i komponentama za pokretanje.

   

6. (Opcija 2) Žuta boja označava da je ažuriranje na čekanju ili je ograničeno ograničenjima kompatibilnosti.

   

7. (Opcija 3) Crvena boja znači da sustav ne može primijeniti potrebna ažuriranja i potrebna je intervencija.

   

Nakon što dovršite korake, imat ćete jasnije razumijevanje nije li potrebna nikakva radnja ili trebate nastaviti s ručnim postupkom ažuriranja firmvera sustava novijom verzijom certifikata Secure Boot.

Poruka koju ćete vidjeti u aplikaciji Sigurnost sustava Windows povezana je s ažuriranjima certifikata isporučenim putem servisa Windows Update. Sustav procjenjuje kompatibilnost firmvera, provjerava implementaciju certifikata i izvještava o rezultatu u stvarnom vremenu.

Microsoft postupno uvodi ovo ažuriranje u aplikaciju Windows Update. Ako ne možete utvrditi stanje certifikata, upotrijebite opciju PowerShell.

Također, počevši od svibnja 2026., obavijesti na razini sustava odražavat će ta stanja, povećavajući vidljivost kada je potrebno poduzeti mjere.