Microsoft forklarer sikkerhetsrisikoene ved at Secure Boot-sertifikater utløper i 2026 på Windows 11

• Secure Boot-sertifikater introdusert i 2011 utløper i slutten av juni 2026.
• Datamaskiner vil fortsette å starte opp normalt etter utløpsdatoen.
• Enheter uten oppdaterte sertifikater går inn i en degradert sikkerhetstilstand.
• Støttede Windows 11- og Windows 10-enheter mottar oppdateringer automatisk via Windows Update.
• Systemer som ikke støttes, inkludert Windows 10 etter oktober 2025 uten ESU, vil ikke motta de nye sertifikatene.

Microsoft har bekreftet at enheter med de originale Secure Boot-sertifikatene som ble introdusert i 2011, vil begynne å utløpe i slutten av juni 2026, noe som utløser en større sikkerhetsoppdatering som påvirker nesten alle moderne datamaskiner.

Sikker oppstart er sikkerhetsmekanismen som er tilgjengelig i Unified Extensible Firmware Interface (UEFI)-fastvaren som kjører ved oppstart, før operativsystemet lastes inn. Formålet med denne funksjonen er å bekrefte at bare klarert, digitalt signert kode kan kjøres under oppstart, og blokkere oppstartssett og andre lavnivåtrusler som prøver å kompromittere et system under oppstart. De siste 15 årene har denne prosessen vært avhengig av sertifikater innebygd i enhetens fastvare, men disse sertifikatene nærmer seg nå slutten av sin planlagte livssyklus.

Vil datamaskinen din slutte å virke i 2026?

Det korte svaret er nei. Når de originale sertifikatene utløper, vil datamaskiner fortsette å starte opp, og Windows 11 (eller 10) vil fortsette å laste inn normalt. Programmer vil ikke plutselig feile, og du vil ikke se en umiddelbar forstyrrelse.

Systemer som ikke mottar de oppdaterte Secure Boot-sertifikatene, vil imidlertid gå inn i en degradert sikkerhetstilstand. Det betyr imidlertid ikke at datamaskinen er umiddelbart usikker. Det betyr ganske enkelt at enheten ikke lenger vil kunne godta fremtidige oppdateringer til Secure Boot-klareringskjeden.

Over tid, etter hvert som nye sårbarheter på oppstartsnivå oppdages, kan det hende at disse systemene ikke klarer å installere nye begrensninger. Maskinen fortsetter å kjøre, men oppstartsbeskyttelsen utvikler seg ikke lenger, og denne langsiktige begrensningen er den virkelige bekymringen.

Hvorfor Microsoft erstatter Secure Boot-sertifikater

Sikkerhetssertifikater er ikke ment å vare evig. Etter hvert som sikkerhetsstandarder utvikler seg, må krypteringsnøkler og tillitsankre oppdateres for å forhindre at utdaterte legitimasjonsdetaljer blir sårbarheter. Utløpet av Secure Boot-sertifikatene fra 2011 var planlagt fra starten av.

Det som gjør denne overgangen betydelig er skala. Secure Boot opererer på fastvarenivå, ikke bare i selve operativsystemet. Oppdatering krever koordinering mellom Windows 11 (og 10)-service, enhetsfastvare og maskinvareprodusenter på tvers av millioner av unike enhetskonfigurasjoner over hele verden.

Microsoft beskriver dette som en av de største koordinerte sikkerhetsvedlikeholdstiltakene på tvers av Windows-økosystemet.

Hvordan oppdateringen leveres

Programvaregiganten har allerede begynt å rulle ut de nye Secure Boot-sertifikatene gjennom regelmessige månedlige oppdateringer til støttede versjoner, inkludert Windows 11 og 10. For de fleste hjemmebrukere og bedrifter som lar selskapet administrere oppdateringer, bør oppdateringer skje automatisk i bakgrunnen.

I noen tilfeller, spesielt på eldre maskinvare, kan det være nødvendig med en fastvareoppdatering fra enhetsprodusenten før de nye sertifikatene kan brukes. Microsoft sier at de har jobbet tett med store dataprodusenter (som Dell, HP og Lenovo) for å forberede enheter for overgangen.

Nesten alle enheter produsert siden 2024 inkluderer allerede de oppdaterte sertifikatene, og nesten alle systemer som ble sendt i 2025 leveres med dem rett ut av esken.

Hva med Windows-versjoner som ikke støttes?

Enheter som kjører versjoner av operativsystemet som ikke støttes, vil ikke motta de nye sertifikatene for sikker oppstart via Windows Update. Dette inkluderer Windows 10 etter at støtten opphører i oktober 2025, med mindre enheten er registrert i utvidede sikkerhetsoppdateringer .

Disse systemene vil fortsette å fungere etter at 2011-sertifikatene utløper, men de vil forbli permanent begrenset i sin evne til å motta fremtidige sikkerhetsforbedringer på oppstartsnivå. Etter hvert som plattformen utvikler seg, kan dette gradvis øke eksponeringen for nye trusler og kompatibilitetsproblemer med nyere fastvare, maskinvare eller Windows-utgivelser.

Hva bør du gjøre nå?

For folk flest er den sikreste fremgangsmåten enkel. Husk å holde Windows 11 (og 10) fullstendig oppdatert , og sørg for at enhetens fastvare er oppdatert ved å sjekke produsentens støtteside. Microsoft har indikert at ytterligere statusinformasjon om sertifikatoppdateringer vil vises i Windows Sikkerhets-appen i løpet av de kommende månedene, noe som gir større oversikt over prosessen.

Du kan alltid sjekke og oppdatere Secure Boot-sertifikatet manuelt ved å bruke disse instruksjonene.

Organisasjoner som administrerer et stort antall datamaskiner bør behandle dette som en validerings- og distribusjonsplanleggingsøvelse snarere enn en enkel Patch Tuesday-oppdatering.