Microsoft zamjenjuje certifikate Secure Boot-a koji istječu u sustavu Windows 11 – Svi detalji i kako ažurirati svoj

• Sigurno pokretanje sprječava da zlonamjerni softver niske razine ugrozi proces pokretanja sustava Windows 11.
• Microsoftovi originalni certifikati Secure Boot iz 2011. istječu u lipnju 2026., a novi certifikati iz 2023. produžuju zaštitu do 2053.
• Uređaji kupljeni 2024. i kasnije vjerojatno već imaju najnovije certifikate. Ostali ih postupno dobivaju putem Windows Updatea.
• Status certifikata možete provjeriti pomoću PowerShella i ručno ažurirati certifikate pomoću podešavanja registra i zakazanih zadataka ako ažuriranja nisu stigla automatski.

Certifikat za modul Secure Boot vašeg računala istječe u lipnju 2026. Počevši od sigurnosnog ažuriranja iz siječnja 2026. , Microsoft je započeo postupno uvođenje novog certifikata koji će vašem računalu omogućiti nastavak ispravnog pokretanja i primanje sigurnosnih ažuriranja.

U sustavu Windows 11 , Secure Boot je sigurnosna značajka dostupna u UEFI (Unified Extensible Firmware Interface) firmveru koja sprječava neovlaštene izmjene kritičnih sistemskih datoteka tijekom pokretanja. Kao rezultat toga, osigurava da se uređaj pokreće samo pomoću softvera kojem proizvođač vjeruje.

Drugim riječima, Secure Boot pomaže u zaštiti vaših uređaja od zlonamjernog softvera niske razine (poput bootkitova i rootkitova) koji može zaraziti proces pokretanja i preuzeti kontrolu nad vašim računalom prije nego što se operativni sustav i antivirusni softver uopće učitaju.

Razumijevanje certifikata sigurnog pokretanja

Kao dio procesa, značajka koristi kriptografske ključeve (poznate kao tijela za izdavanje certifikata (CA)) kako bi provjerila dolaze li moduli firmvera iz pouzdanog izvora, što pomaže u sprječavanju pokretanja zlonamjernog softvera tijekom ranih faza pokretanja uređaja.

Certifikati Secure Boot-a oduvijek su imali datume isteka jer pomažu u osiguravanju da vaše računalo nastavi primati sigurnosna ažuriranja i ispravno se pokretati. Zato morate instalirati certifikate iz 2023. prije nego što certifikati iz 2011. počnu isteći u lipnju 2026.

Ako imate uređaj kupljen 2024. (ili kasnije), vjerojatno su najnoviji certifikati već instalirani. Međutim, za ostala računala Microsoft je sada u procesu uvođenja novih certifikata Secure Boot putem Windows Updatea.

U „Sigurnosnom ažuriranju 2026-01 (KB5074109) (26200.7623)“ objavljenom 13. siječnja 2026., softverski div napomenuo je da ažuriranja sada uključuju podskup podataka o ciljanju uređaja visoke pouzdanosti koji identificiraju uređaje koji ispunjavaju uvjete za automatsko primanje novih certifikata Secure Boot. Uređaji će primiti nove certifikate tek nakon što pokažu dovoljno uspješnih signala ažuriranja, osiguravajući sigurno i postupno uvođenje.

To znači da ne morate poduzimati nikakve ručne korake za ažuriranje Secure Boota , osim što ćete sustavu omogućiti da nastavi primati ažuriranja. Barem od sada dok ne postane dostupno sigurnosno ažuriranje u lipnju 2026.

Provjerite datum isteka certifikata Secure Boot

Budući da nećete primiti obavijest da vaše računalo sada uključuje najnovije certifikacijske autoritete, važno je provjeriti treba li vašem uređaju još uvijek ažuriranje.

Windows 11 nema izvornu naredbu za prikaz datuma isteka firmvera koji je čitljiv ljudima. Međutim, možete provjeriti imate li "ažurirane" certifikate iz 2023. (koji zamjenjuju one koji istječu 2026.) pomoću ovih koraka:

Otvorite PowerShell (admin) i pokrenite:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Točno: Imate novi certifikat (vrijedi do 2053.).
• Netočno: Vjerojatno još uvijek imate certifikat iz 2011. (istječe 2026.).

PowerShell provjerava istek Secure Boot certifikata / Slika: Mauro Huculak

Gotovo svi moderni lanci Secure Boot-a oslanjaju se na Microsoftove certifikate iz 2011., koji imaju sljedeće datume isteka :

• Microsoft Corporation KEK CA 2011 (24. lipnja 2026.). 
• Microsoft Corporation UEFI CA 2011 (27. lipnja 2026.).
• Microsoft Option ROM UEFI CA 2011 (27. lipnja 2026.).
• Microsoft Windows Production PCA 2011 (19. listopada 2026.).

Za referencu, ovo je ono što svaki certifikat radi:

• KEK certifikat: Sidro povjerenja koje omogućuje ažuriranje baza podataka potpisa Secure Boota (DB/DBX).
• UEFI CA certifikati: Vjerujte potpisima bootloadera i komponenti firmvera (uključujući EFI aplikacije trećih strana).
• Option ROM CA: Vjeruje modulima ROM-a s opcijom firmvera.
• Microsoft Windows Production PCA 2011: Osigurava da firmver u Secure Bootu vjeruje Windows bootloaderu i povezanim binarnim datotekama.

Ažurirajte certifikate za sigurno pokretanje u sustavu Windows 11

Ako se vaši certifikati bliže isteku, Microsoft i proizvođač vašeg računala (OEM) automatski će objaviti ažuriranja firmvera ili "DBX" ažuriranja putem Windows Updatea ili ažuriranja sustava kako bi se registrirali novi CA certifikati iz 2023. Međutim, možete ručno ažurirati svoj Secure Boot.

Upozorenje: Prije nastavka provjerite imate li spremljen BitLocker ključ za oporavak i je li vaš BIOS (UEFI) ažuriran. Ako firmver vašeg računala ne podržava nove certifikate, vaše računalo se možda neće pokrenuti nakon ažuriranja. Također se preporučuje stvaranje potpune sigurnosne kopije računala prije nastavka.

Otvorite PowerShell (admin) i pokrenite:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ova naredba postavlja ključ registra koji upućuje operativni sustav da implementira sve potrebne certifikate (uključujući upravitelj pokretanja s potpisom PCA 2023).

Vrijednost 0x5944je kod za „potpuno ublažavanje“ koji omogućuje sva relevantna ažuriranja certifikata.

Windows 11 ima ugrađeni zadatak koji obrađuje ove promjene certifikata, a možete ga ručno pokrenuti kako biste izbjegli čekanje od 12 sati sljedećom naredbom:

Start-ScheduledTask -NazivZadatka "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell ažurira certifikat Secure Boot / Slika: Mauro Huculak

Ažuriranje obično zahtijeva dva ponovna pokretanja da bi se u potpunosti primijenilo. Nakon prvog ponovnog pokretanja, sustav ažurira upravitelj pokretanja. Nakon drugog, dovršava upis certifikata u UEFI bazu podataka.

Nakon ponovnog pokretanja, možete provjeriti je li "UEFI CA 2023" sada prisutan u vašoj bazi podataka pokretanjem ove PowerShell naredbe (kao administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Istina: Vaš je sustav sada zaštićen novim certifikatima.
• Netočno: Ako ostane netočno nakon nekoliko ponovnih pokretanja, firmver matične ploče možda je prestar da bi prihvatio novi format certifikata. Provjerite web-mjesto proizvođača za ažuriranje BIOS-a vezano uz "Secure Boot".

Ako je BitLocker aktivan, možda ćete morati privremeno onemogućiti šifriranjeSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) prije nego što firmver uspješno zapiše nove ključeve na uređaj.