A Microsoft elmagyarázza a 2026-ban lejáró Secure Boot tanúsítványok biztonsági kockázatait a Windows 11 rendszeren

• A 2011-ben bevezetett Secure Boot tanúsítványok 2026 júniusának végén lejárnak.
• A számítógépek a lejárat után is normálisan fognak elindulni.
• A frissített tanúsítványok nélküli eszközök csökkentett biztonsági állapotba kerülnek.
• A támogatott Windows 11 és Windows 10 rendszerű eszközök automatikusan megkapják a frissítéseket a Windows Update-en keresztül.
• A nem támogatott rendszerek, beleértve a 2025 októbere utáni, ESU nélküli Windows 10-et is, nem kapják meg az új tanúsítványokat.

A Microsoft megerősítette , hogy az eredeti, 2011-ben bevezetett Secure Boot tanúsítványokkal rendelkező eszközök 2026 júniusának végén lejárnak, ami egy jelentős biztonsági frissítést indít el, amely szinte minden modern számítógépet érint.

A Secure Boot az UEFI (Unified Extensible Firmware Interface) firmware-ben elérhető biztonsági mechanizmus, amely indításkor, az operációs rendszer betöltése előtt fut. A funkció célja annak ellenőrzése, hogy csak megbízható, digitálisan aláírt kód hajtható végre indításkor, blokkolva a rendszerindító készleteket és más alacsony szintű fenyegetéseket, amelyek megpróbálják feltörni a rendszert a rendszerindítás során. Az elmúlt 15 évben ez a folyamat az eszköz firmware-jébe ágyazott tanúsítványokra támaszkodott, de ezek a tanúsítványok mostanra elérik tervezett életciklusuk végét.

2026-ban leáll a számítógéped?

A rövid válasz: nem. Amikor az eredeti tanúsítványok lejárnak, a számítógépek továbbra is elindulnak, és a Windows 11 (vagy 10) továbbra is normálisan betöltődik. Az alkalmazások nem fognak hirtelen leállni, és nem fog azonnali fennakadást tapasztalni.

Azonban azok a rendszerek, amelyek nem kapják meg a frissített Secure Boot tanúsítványokat, csökkent biztonsági állapotba kerülnek. Ez azonban nem jelenti azt, hogy a számítógép azonnal veszélybe kerül. Egyszerűen azt jelenti, hogy az eszköz már nem lesz képes fogadni a jövőbeni frissítéseket a Secure Boot megbízhatósági láncában.

Idővel, ahogy új rendszerindítási szintű sebezhetőségeket fedeznek fel, ezek a rendszerek esetleg nem lesznek képesek új enyhítő megoldásokat telepíteni. A gép továbbra is fut, de az indítási védelmei már nem fejlődnek, és ez a hosszú távú korlátozás jelenti az igazi aggodalmat.

Miért cseréli le a Microsoft a Secure Boot tanúsítványokat?

A biztonsági tanúsítványok nem örökkévalóságra lettek tervezve. Ahogy a biztonsági szabványok fejlődnek, a titkosítási kulcsokat és a bizalmi pontokat frissíteni kell, hogy megakadályozzuk az elavult hitelesítő adatok sebezhetőséggé válását. A 2011-es Secure Boot tanúsítványok lejáratát a kezdetektől fogva tervezték.

Ennek az átmenetnek a jelentősségét a méretezhetősége adja. A Secure Boot firmware-szinten működik, nem csak magán az operációs rendszeren belül. Frissítéséhez koordinációra van szükség a Windows 11 (és 10) szervizelése, az eszköz firmware-je és a hardvergyártók között, világszerte több millió egyedi eszközkonfigurációban.

A Microsoft ezt a Windows ökoszisztéma egyik legnagyobb összehangolt biztonsági karbantartási erőfeszítéseként írja le.

A frissítés kézbesítésének módja

A szoftveróriás már elkezdte az új Secure Boot tanúsítványok rendszeres havi frissítéseinek bevezetését a támogatott verziókra, beleértve a Windows 11-et és 10-et is. A legtöbb otthoni felhasználó és vállalkozás számára, amelyek engedélyezik a vállalatnak a frissítések kezelését, a frissítéseknek automatikusan a háttérben kell megtörténniük.

Bizonyos esetekben, különösen régebbi hardverek esetén, az új tanúsítványok sikeres alkalmazása előtt szükség lehet a készülék gyártójának firmware-frissítésére. A Microsoft azt állítja, hogy szorosan együttműködött a nagyobb számítógépgyártókkal (például a Dell, a HP és a Lenovo) az eszközök átállásra való felkészítésében.

A 2024 óta gyártott eszközök szinte mindegyike tartalmazza a frissített tanúsítványokat, és a 2025-ben szállított rendszerek szinte mindegyike alapértelmezés szerint rendelkezik ezekkel.

Mi a helyzet a nem támogatott Windows verziókkal?

Az operációs rendszer nem támogatott verzióit futtató eszközök nem kapják meg az új Secure Boot tanúsítványokat a Windows Update-en keresztül. Ez vonatkozik a Windows 10-re is a támogatás 2025 októberi megszűnése után, kivéve, ha az eszköz regisztrálva van a kiterjesztett biztonsági frissítésekre .

Ezek a rendszerek a 2011-es tanúsítványok lejárta után is működni fognak, de a jövőbeni rendszerindítási szintű biztonsági fejlesztések fogadására való képességük továbbra is véglegesen korlátozott marad. Ahogy a platform fejlődik, ez fokozatosan növelheti az új fenyegetésekkel és az újabb firmware-ekkel, hardverekkel vagy Windows-kiadásokkal kapcsolatos kompatibilitási problémákkal szembeni kitettséget.

Mit kellene most tenned?

A legtöbb ember számára a legbiztonságosabb megoldás az egyszerűség kedvéért: ne felejtse el naprakészen tartani a Windows 11-et (és 10-et) , és a gyártó támogatási oldalának ellenőrzésével győződjön meg arról, hogy az eszköz firmware-je naprakész. A Microsoft jelezte, hogy a tanúsítványfrissítésekkel kapcsolatos további állapotinformációk jelennek meg a Windows Biztonság alkalmazásban, így jobban láthatóvá válik a folyamat.

A Secure Boot tanúsítványt bármikor manuálisan ellenőrizheti és frissítheti ezekkel az utasításokkal.

A nagyszámú számítógépet kezelő szervezeteknek ezt egy validációs és telepítési tervezési feladatként kell kezelniük, nem pedig egy egyszerű Patch Tuesday frissítésként.