Slik sjekker du om PC-en din har oppdaterte sertifikater for sikker oppstart på Windows 11 og 10

• Microsofts 2011 Secure Boot-sertifikater utløper i juni 2026.
• De nye Windows UEFI CA 2023-sertifikatene utvider beskyttelsen til 2053.
• Enheter kjøpt i 2024 eller senere inkluderer vanligvis allerede de oppdaterte sertifikatene.
• Eldre PC-er mottar oppdateringen gradvis via Windows Update.
• Du kan bekrefte sertifikatstatusen ved hjelp av en PowerShell-kommando.

På noen Windows 11- og Windows 10-enheter er det planlagt at Secure Boot-sertifikatene som først ble utstedt i 2011, utløper i juni 2026. Selv om Microsoft aktivt erstatter dem med 2023-sertifikater, bør du bekrefte at systemet ditt allerede har gått over til de nyere sertifikatene for å forhindre oppstart eller sikkerhetsforstyrrelser.

Sikker oppstart er en fastvarebasert beskyttelsesfunksjon i Unified Extensible Firmware Interface (UEFI) som sikrer at en enhet kun laster inn programvare som er digitalt signert og klarert av produsenten. Den beskytter oppstartsprosessen ved å forhindre uautoriserte endringer i kritiske oppstartskomponenter før operativsystemet lastes inn.

For å oppnå dette bruker Secure Boot kryptografiske nøkler, kjent som sertifikatmyndigheter (CA-er), for å validere fastvaremoduler og oppstartslastere. Disse sertifikatene oppretter en tillitskjede som blokkerer skadelig kode fra å kjøre under tidlig oppstart.

Som alle digitale sertifikater har Secure Boot CA-er definerte utløpsdatoer. At 2011-sertifikatene utløper i juni 2026, betyr at systemer må ha de nyere 2023-sertifikatene installert for å fortsette å motta oppdateringer og starte opp normalt uten feil i tillitsvalideringen.

Fordi digitale sertifikater har utløpsdatoer, må systemer installere 2023-sertifikatene før 2011-sertifiseringsenhetene utløper i juni 2026 for å fortsette å starte opp og motta oppdateringer på riktig måte.

Enheter kjøpt i 2024 eller senere inkluderer vanligvis allerede de nye sertifikatene. For eldre maskinvare distribuerer Microsoft den via Windows Update.

Microsoft identifiserer og oppdaterer allerede automatisk Secure Boot-sertifiseringer gjennom regelmessige systemoppdateringer, så ingen manuell handling er nødvendig utover å holde Windows Update aktivert og installere månedlige sikkerhetsoppdateringer før fristen i juni 2026. Det er imidlertid alltid lurt å sjekke og forstå om enheten din har de riktige sertifikatene.

I denne veiledningen vil jeg skissere trinn for å sjekke om 2023 Secure Boot-sertifikatene allerede er installert på datamaskinen din.

• Sjekk om PC-en din har Secure Boot 2023-sertifikatene ved hjelp av PowerShell
• Sjekk om PC-en din har Secure Boot 2023-sertifikatene ved hjelp av Windows Sikkerhet

Sjekk om PC-en din har Secure Boot 2023-sertifikatene ved hjelp av PowerShell

For å sjekke om du har de «oppdaterte» 2023 Secure Boot-sertifikatene (som erstatter de som utløper i 2026), bruk disse trinnene:

1. Åpne Start i Windows 11.

    

    

2. Søk etter PowerShell (eller Terminal ), høyreklikk på det øverste resultatet, og velg alternativet Kjør som administrator.

3. Skriv inn denne kommandoen for å sjekke utløpsdatoen for Secure Boot-sertifikatene, og trykk Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

Når du har fullført trinnene, og resultatet er «Sann», har du det nye sertifikatet (gyldig til 2053). Hvis resultatet er «Falsk», har du sannsynligvis fortsatt sertifikatet fra 2011 (utløper i 2026).

Secure Boot 2011-sertifikater utløper i 2026 – hva hvert sertifikat gjør

Nesten alle moderne Secure Boot-kjeder er avhengige av Microsofts 2011-sertifikater, som har følgende utløpsdatoer :

• Microsoft Corporation KEK CA 2011 (24. juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27. juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27. juni 2026).
• Microsoft Windows Production PCA 2011 (19. oktober 2026).

Til referanse, dette er hva hvert sertifikat gjør:

• KEK-sertifikat: Tillitsanker som tillater oppdatering av Secure Boot-signaturdatabaser (DB/DBX).
• UEFI CA-sertifikater: Stol på signaturene til oppstartslastere og fastvarekomponenter (inkludert tredjeparts EFI-applikasjoner).
• Opsjons-ROM CA: Klarerer ROM-moduler for fastvare.
• Microsoft Windows Production PCA 2011: Sikrer at Windows-oppstartslasteren og relaterte binærfiler er klarert av fastvaren under sikker oppstart.

Hvis sertifikatene dine nærmer seg utløpsdatoen, vil Microsoft og datamaskinprodusenten (OEM) automatisk sende ut fastvareoppdateringer eller "DBX"-oppdateringer via Windows Update eller systemoppdateringer for å registrere de nye 2023 CA-sertifikatene. Du kan alltid installere de nye Secure Boot-sertifikatene manuelt .

Hvorfor hendelses-ID 1801 vises i hendelsesvisningen (og hvorfor det ikke er en feil)

Til slutt vil du sannsynligvis legge merke til at hendelses-ID 1801 vises for kilden «TPM-WMI (Microsoft-Windows-TPM-WMI)» med meldingen «BucketConfidenceLevel: Under Observation – More Data Needed» .

Selv om det ser ut som en feil, er det ikke en feil. Denne oppføringen betyr at operativsystemet har oppdaget oppdaterte Secure Boot-sertifikater, men har ennå ikke brukt dem på fastvaren.

Enheten er i en oppstarts- og valideringsfase mens Microsoft gradvis ruller ut oppdateringen. Fordi Secure Boot-nøkler ligger i UEFI-fastvaren og påvirker oppstartskjeden, koordineres overgangen nøye for å unngå oppstartsproblemer.

Enkelt sagt er hendelses-ID 1801 bare en statussjekk som indikerer at Windows evaluerer enheten din som en del av utrullingen av Secure Boot-sertifikatet. Meldingen «Under observasjon» gjenspeiler denne evalueringsprosessen. Den indikerer ikke et TPM-problem, feil i Secure Boot eller en BIOS-feil. Selv om den er logget som en feil, er den kun til informasjon.

Overgangen til Secure Boot-sertifikatet skjer i to faser. Først laster Windows 11 (eller 10) ned og plasserer det nye sertifikatet i operativsystemet. Senere, etter kompatibilitetskontroller og validering, skrives sertifikatet til systemfastvaren og aktiveres.

Enheter kan forbli mellom disse to stadiene en stund, og det er derfor TPM-WMI-oppføringer kan fortsette å vises i hendelsesvisningen selv om ingenting er galt.

Sjekk om PC-en din har Secure Boot 2023-sertifikatene ved hjelp av Windows Sikkerhet

I tillegg til å bruke PowerShell, har Windows Security-appen blitt oppdatert for å vise den nøyaktige statusen til Secure Boot-sertifikatene som utløper i 2026. 

For å sjekke om datamaskinen din har de nyeste sertifikatene for sikker oppstart, bruk disse trinnene:

1. Åpne Start .

2. Søk etter Windows-sikkerhet og klikk på det øverste resultatet for å åpne appen.

3. Klikk på Enhetssikkerhet i venstre rute.

4. Bekreft fargen og meldingen på Sikker oppstart-merket.

5. (Alternativ 1) Grønt betyr at systemet er fullstendig oppdatert med de nyeste sertifikatene og oppstartskomponentene.

   

6. (Alternativ 2) Gult indikerer at en oppdatering venter eller er begrenset av kompatibilitetsbegrensninger.

   

7. (Alternativ 3) Rødt betyr at systemet ikke kan implementere de nødvendige oppdateringene og trenger inngripen.

   

Når du har fullført trinnene, vil du ha en klarere forståelse av om det ikke kreves noen handling, eller om du må fortsette med den manuelle prosessen for å oppdatere systemets fastvare med den nyere versjonen av Secure Boot-sertifikatene.

Meldingen du ser i Windows-sikkerhetsappen er knyttet til sertifikatoppdateringer levert via Windows Update. Systemet evaluerer fastvarekompatibilitet, bekrefter sertifikatdistribusjonen og rapporterer resultatet i sanntid.

Microsoft ruller ut denne oppdateringen til Windows Update-appen gradvis. Hvis du ikke kan fastslå statusen til sertifikatene, kan du bruke PowerShell-alternativet.

Fra og med mai 2026 vil også varsler på systemnivå gjenspeile disse tilstandene, noe som øker synligheten når handling er nødvendig.