Microsoft erstatter utløpende Secure Boot-sertifikater på Windows 11 – Alle detaljer og hvordan du oppdaterer dine

• Sikker oppstart forhindrer at skadelig programvare på lavt nivå kompromitterer oppstartsprosessen i Windows 11.
• Microsofts originale Secure Boot-sertifikater fra 2011 utløper i juni 2026, og nye sertifikater fra 2023 utvider beskyttelsen til 2053.
• Enheter kjøpt i 2024 og senere har sannsynligvis allerede de nyeste sertifikatene. Andre mottar dem gradvis gjennom Windows Update.
• Du kan sjekke sertifikatstatusen din ved hjelp av PowerShell, og manuelt oppdatere sertifikater ved hjelp av registerjusteringer og planlagte oppgaver hvis oppdateringer ikke har kommet automatisk.

Sertifikatet for PC-ens Secure Boot-modul utløper i juni 2026. Fra og med sikkerhetsoppdateringen fra januar 2026 har Microsoft startet en gradvis utrulling av et nytt sertifikat som lar datamaskinen fortsette å starte opp riktig og motta sikkerhetsoppdateringer.

I Windows 11 er Secure Boot en sikkerhetsfunksjon som er tilgjengelig i Unified Extensible Firmware Interface (UEFI)-fastvaren, og som forhindrer uautoriserte endringer av kritiske systemfiler under oppstart. Som et resultat sikrer den at en enhet starter opp med kun programvare som er klarert av produsenten.

Med andre ord, Secure Boot bidrar til å beskytte enhetene dine mot lavnivå-skadelig programvare (som bootkits og rootkits) som kan infisere oppstartsprosessen og få kontroll over datamaskinen din før operativsystemet og antivirusprogramvaren i det hele tatt lastes inn.

Forstå sertifikater for sikker oppstart

Som en del av prosessen bruker funksjonen kryptografiske nøkler (kjent som sertifikatmyndigheter (CA-er)) for å validere at fastvaremoduler kommer fra en pålitelig kilde, noe som bidrar til å forhindre at skadelig programvare kjører i de tidlige stadiene av oppstarten av enheten.

Nå har sertifikater for sikker oppstart alltid hatt utløpsdatoer, ettersom de bidrar til å sikre at datamaskinen din fortsetter å motta sikkerhetsoppdateringer og starter opp riktig. Derfor må du installere sertifikatene fra 2023 før sertifikatene fra 2011 begynner å utløpe i juni 2026.

Hvis du har en enhet kjøpt i 2024 (eller senere), er det stor sannsynlighet for at de nyeste sertifikatene allerede er installert. For resten av datamaskinene er imidlertid Microsoft nå i ferd med å rulle ut de nye Secure Boot-sertifikatene via Windows Update.

I «2026-01 Security Update (KB5074109) (26200.7623)» som ble rullet ut 13. januar 2026, har programvaregiganten bemerket at oppdateringene nå inkluderer et delsett av enhetsmålretting med høy konfidens som identifiserer enheter som er kvalifisert til å automatisk motta nye Secure Boot-sertifikater. Enheter vil bare motta de nye sertifikatene etter å ha demonstrert tilstrekkelige vellykkede oppdateringssignaler, noe som sikrer en sikker og faset utrulling.

Dette betyr at du ikke trenger å gjøre noen manuelle trinn for å oppdatere Secure Boot , annet enn å la systemet fortsette å motta oppdateringer. I hvert fall fra nå og frem til sikkerhetsoppdateringen fra juni 2026 blir tilgjengelig.

Sjekk utløpsdatoen for Secure Boot-sertifikatet

Siden du ikke vil motta et varsel om at datamaskinen din nå inkluderer de nyeste sertifiseringsinstansene, er det viktig å sjekke om enheten din fortsatt trenger en oppdatering.

Windows 11 har ingen innebygd kommando for å vise utløpsdatoen for fastvaren som er lesbar for mennesker. Du kan imidlertid sjekke om du har de «oppdaterte» 2023-sertifikatene (som erstatter de som utløper i 2026) ved å bruke disse trinnene:

Åpne PowerShell (administrator) og kjør:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sant: Du har det nye sertifikatet (gyldig til 2053).
• Usant: Du har sannsynligvis fortsatt sertifikatet fra 2011 (utløper i 2026).

PowerShell-sjekk utløpsdato for sikker oppstartssertifikat / Bilde: Mauro Huculak

Nesten alle moderne Secure Boot-kjeder er avhengige av Microsofts 2011-sertifikater, som har følgende utløpsdatoer :

• Microsoft Corporation KEK CA 2011 (24. juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27. juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27. juni 2026).
• Microsoft Windows Production PCA 2011 (19. oktober 2026).

Til referanse, dette er hva hvert sertifikat gjør:

• KEK-sertifikat: Tillitsanker som tillater oppdatering av Secure Boot-signaturdatabaser (DB/DBX).
• UEFI CA-sertifikater: Stol på signaturene til oppstartslastere og fastvarekomponenter (inkludert tredjeparts EFI-applikasjoner).
• Opsjons-ROM CA: Klarerer ROM-moduler for fastvare.
• Microsoft Windows Production PCA 2011: Sikrer at Windows-oppstartslasteren og relaterte binærfiler er klarert av fastvaren under sikker oppstart.

Oppdater sertifikater for sikker oppstart på Windows 11

Hvis sertifikatene dine nærmer seg utløpsdatoen, vil Microsoft og datamaskinprodusenten (OEM) automatisk sende ut fastvareoppdateringer eller "DBX"-oppdateringer via Windows Update eller systemoppdateringer for å registrere de nye 2023 CA-sertifikatene. Du kan imidlertid oppdatere sikker oppstart manuelt.

Advarsel: Før du fortsetter, må du sørge for at du har lagret en BitLocker-gjenopprettingsnøkkel og at BIOS (UEFI) er oppdatert. Hvis datamaskinens fastvare ikke støtter de nye sertifikatene, kan det hende at datamaskinen ikke starter opp etter oppdateringen. Det anbefales også å lage en fullstendig sikkerhetskopi av datamaskinen før du fortsetter.

Åpne PowerShell (administrator) og kjør:

reg legg til HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tilgjengelige oppdateringer /t REG_DWORD /d 0x5944 /f

Denne kommandoen angir registernøkkelen som instruerer operativsystemet til å distribuere alle nødvendige sertifikater (inkludert PCA 2023-signert oppstartsbehandler).

Verdien 0x5944er koden for «fullstendig avbøtning» som aktiverer alle relevante sertifikatoppdateringer.

Windows 11 har en innebygd oppgave som behandler disse sertifikatendringene, og du kan utløse den manuelt for å unngå å vente i 12 timer med følgende kommando:

Start-PlanlagtOppgave -Oppgavenavn "\Microsoft\Windows\PI\Sikker-Oppstart-Oppdatering"

PowerShell oppdaterer Secure Boot-sertifikat / Bilde: Mauro Huculak

Oppdateringen krever vanligvis to omstarter for å tre i kraft. Etter den første omstarten oppdaterer systemet oppstartsbehandleren. Etter den andre fullfører det sertifikatregistreringen i UEFI-databasen.

Etter omstart kan du bekrefte om «UEFI CA 2023» nå finnes i databasen din ved å kjøre denne PowerShell- kommandoen (som administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sant: Systemet ditt er nå sikret med de nye sertifikatene.
• Usann: Hvis den forblir usann etter flere omstarter, kan det hende at hovedkortets fastvare er for gammel til å godta det nye sertifikatformatet. Sjekk produsentens nettsted for en BIOS-oppdatering relatert til «Sikker oppstart».

Hvis BitLocker er aktiv, må du kanskje deaktivere krypteringen midlertidig ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) før fastvaren kan skrive de nye nøklene til enheten.