Microsoft skaidro drošās sāknēšanas sertifikātu, kuru derīguma termiņš beidzas 2026. gadā operētājsistēmā Windows 11, drošības riskus

• 2011. gadā ieviestie drošās sāknēšanas sertifikāti zaudē spēku 2026. gada jūnija beigās.
• Pēc termiņa beigām datori turpinās startēties normāli.
• Ierīces bez atjauninātiem sertifikātiem nonāk degradētā drošības stāvoklī.
• Atbalstītās Windows 11 un Windows 10 ierīces automātiski saņem atjauninājumus, izmantojot Windows Update.
• Neatbalstītas sistēmas, tostarp Windows 10 pēc 2025. gada oktobra bez ESU, nesaņems jaunos sertifikātus.

Microsoft ir apstiprinājis , ka ierīcēm ar sākotnējiem drošās sāknēšanas sertifikātiem, kas tika ieviesti 2011. gadā, beigsies derīguma termiņš 2026. gada jūnija beigās, izraisot būtisku drošības atjauninājumu, kas ietekmē gandrīz katru mūsdienu datoru.

Droša sāknēšana ir drošības mehānisms, kas pieejams vienotās paplašināmās programmaparatūras saskarnes (UEFI) programmaparatūrā un darbojas startēšanas laikā pirms operētājsistēmas ielādes. Šīs funkcijas mērķis ir pārbaudīt, vai startēšanas laikā var izpildīt tikai uzticamu, digitāli parakstītu kodu, bloķējot sāknēšanas komplektus un citus zema līmeņa draudus, kas mēģina apdraudēt sistēmu startēšanas laikā. Pēdējos 15 gadus šis process ir balstījies uz ierīces programmaparatūrā iegultiem sertifikātiem, taču šie sertifikāti tagad tuvojas sava plānotā dzīves cikla beigām.

Vai jūsu dators pārstās darboties 2026. gadā?

Īsā atbilde ir nē. Kad sākotnējo sertifikātu derīguma termiņš beigsies, datori turpinās startēties, un operētājsistēma Windows 11 (vai 10) turpinās ielādēt normāli. Lietojumprogrammas pēkšņi neizies no sistēmas, un jūs neredzēsiet tūlītējus darbības traucējumus.

Tomēr sistēmas, kas nesaņem atjauninātos drošās sāknēšanas sertifikātus, nonāks degradētā drošības stāvoklī. Tomēr tas nenozīmē, ka dators nekavējoties kļūst nedrošs. Tas vienkārši nozīmē, ka ierīce vairs nevarēs pieņemt turpmākus drošās sāknēšanas uzticamības ķēdes atjauninājumus.

Laika gaitā, atklājot jaunas sāknēšanas līmeņa ievainojamības, šīs sistēmas, iespējams, nevarēs instalēt jaunus mazināšanas risinājumus. Dators turpina darboties, taču tā startēšanas aizsardzība vairs neattīstās, un šis ilgtermiņa ierobežojums ir patiesā problēma.

Kāpēc Microsoft aizstāj drošās sāknēšanas sertifikātus

Drošības sertifikāti nav paredzēti mūžīgai darbībai. Attīstoties drošības standartiem, ir jāatjaunina šifrēšanas atslēgas un uzticamības enkuri, lai novērstu novecojušu akreditācijas datu kļūšanu par ievainojamībām. 2011. gada drošās sāknēšanas sertifikātu derīguma termiņa beigas bija plānotas jau no paša sākuma.

Šīs pārejas nozīmīgumu nosaka mērogs. Drošā sāknēšana darbojas ne tikai pašas operētājsistēmas ietvaros, bet arī programmaparatūras līmenī. Tās atjaunināšanai ir nepieciešama koordinācija starp Windows 11 (un 10) apkopi, ierīču programmaparatūru un aparatūras ražotājiem miljoniem unikālu ierīču konfigurāciju visā pasaulē.

Microsoft to raksturo kā vienu no lielākajiem koordinētajiem drošības uzturēšanas centieniem visā Windows ekosistēmā.

Kā tiek piegādāts atjauninājums

Programmatūras gigants jau ir sācis ieviest jaunos drošās sāknēšanas sertifikātus, regulāri atjauninot atbalstītās versijas katru mēnesi, tostarp Windows 11 un 10. Lielākajai daļai mājas lietotāju un uzņēmumu, kas ļauj uzņēmumam pārvaldīt atjauninājumus, atjauninājumiem vajadzētu notikt automātiski fonā.

Dažos gadījumos, īpaši vecākās aparatūras gadījumā, pirms jauno sertifikātu veiksmīgas lietošanas var būt nepieciešams ierīces ražotāja veikts programmaparatūras atjauninājums. Microsoft apgalvo, ka ir cieši sadarbojies ar lielākajiem datoru ražotājiem (piemēram, Dell, HP un Lenovo), lai sagatavotu ierīces pārejai.

Gandrīz visās ierīcēs, kas ražotas kopš 2024. gada, jau ir iekļauti atjauninātie sertifikāti, un gandrīz visās 2025. gadā piegādātajās sistēmās tie ir iekļauti jau pēc izpakošanas.

Kā ar neatbalstītajām Windows versijām?

Ierīces, kurās darbojas neatbalstītas operētājsistēmas versijas, nesaņems jaunos drošās sāknēšanas sertifikātus, izmantojot Windows Update. Tas attiecas arī uz Windows 10 pēc tās atbalsta beigām 2025. gada oktobrī, ja vien ierīce nav reģistrēta paplašinātajos drošības atjauninājumos .

Šīs sistēmas turpinās darboties arī pēc 2011. gada sertifikātu termiņa beigām, taču to spēja saņemt turpmākus sāknēšanas līmeņa drošības uzlabojumus paliks neatgriezeniski ierobežota. Platformai attīstoties, tas var pakāpeniski palielināt pakļautību jauniem apdraudējumiem un saderības problēmām ar jaunāku programmaparatūru, aparatūru vai Windows laidieniem.

Kas jums tagad jādara?

Lielākajai daļai cilvēku drošākā rīcība ir vienkārša — atcerieties pastāvīgi atjaunināt operētājsistēmu Windows 11 (un 10) un nodrošināt ierīces programmaparatūras atbilstību, pārbaudot ražotāja atbalsta lapu. Microsoft ir norādījis, ka turpmākajos mēnešos Windows drošības lietotnē tiks parādīta papildu informācija par sertifikātu atjauninājumiem, nodrošinot labāku procesa pārskatāmību.

Drošās sāknēšanas sertifikātu vienmēr varat pārbaudīt un atjaunināt manuāli , izmantojot šīs instrukcijas.

Organizācijām, kas pārvalda lielu skaitu datoru, tas jāuztver kā validācijas un izvietošanas plānošanas vingrinājums, nevis kā vienkāršs atjauninājums ielāpu otrdienā.