Spoločnosť Microsoft nahrádza certifikáty Secure Boot s končiacou platnosťou v systéme Windows 11 – Všetky podrobnosti a ako aktualizovať ten svoj

• Funkcia Secure Boot zabraňuje nízkemu škodlivému softvéru ohroziť proces spúšťania systému Windows 11.
• Platnosť pôvodných certifikátov Secure Boot od spoločnosti Microsoft z roku 2011 vyprší v júni 2026 a nové certifikáty z roku 2023 predlžujú ochranu do roku 2053.
• Zariadenia zakúpené v roku 2024 a neskôr už pravdepodobne majú najnovšie certifikáty. Ostatné ich dostávajú postupne prostredníctvom služby Windows Update.
• Stav certifikátu môžete skontrolovať pomocou PowerShellu a certifikáty môžete manuálne aktualizovať pomocou úprav databázy Registry a naplánovaných úloh, ak sa aktualizácie nedostali automaticky.

Platnosť certifikátu pre modul Secure Boot vášho počítača vyprší v júni 2026. Počnúc aktualizáciou zabezpečenia z januára 2026 spoločnosť Microsoft začala postupné zavádzanie nového certifikátu, ktorý umožní vášmu počítaču pokračovať v správnom spúšťaní a prijímaní aktualizácií zabezpečenia.

V systéme Windows 11 je funkcia Secure Boot bezpečnostná funkcia dostupná vo firmvéri UEFI (Unified Extensible Firmware Interface), ktorá zabraňuje neoprávneným úpravám kritických systémových súborov počas spúšťania. Vďaka tomu sa zabezpečí, že sa zariadenie spustí iba pomocou softvéru, ktorému dôveruje výrobca.

Inými slovami, Secure Boot pomáha chrániť vaše zariadenia pred nízkoúrovňovým škodlivým softvérom (ako sú bootkity a rootkity), ktorý môže infikovať proces zavádzania a získať kontrolu nad vaším počítačom ešte predtým, ako sa operačný systém a antivírusový softvér vôbec načítajú.

Pochopenie certifikátov Secure Boot

Súčasťou procesu je, že táto funkcia používa kryptografické kľúče (známe ako certifikačné autority (CA)) na overenie, či firmvérové ​​moduly pochádzajú z dôveryhodného zdroja, čo pomáha predchádzať spusteniu škodlivého softvéru v počiatočných fázach spúšťania zariadenia.

Certifikáty Secure Boot majú vždy dátumy expirácie, pretože pomáhajú zabezpečiť, aby váš počítač naďalej dostával aktualizácie zabezpečenia a správne sa spúšťal. Preto musíte nainštalovať certifikáty z roku 2023 skôr, ako v júni 2026 začnú vypršovať platnosť certifikátov z roku 2011.

Ak máte zariadenie zakúpené v roku 2024 (alebo neskôr), je pravdepodobné, že najnovšie certifikáty už sú nainštalované. Pre ostatné počítače však spoločnosť Microsoft v súčasnosti zavádza nové certifikáty Secure Boot prostredníctvom služby Windows Update.

V aktualizácii zabezpečenia „2026-01 (KB5074109) (26200.7623)“ vydanej 13. januára 2026 softvérový gigant poznamenal, že aktualizácie teraz obsahujú podmnožinu údajov o zacielení na zariadenia s vysokou spoľahlivosťou, ktoré identifikujú zariadenia oprávnené na automatické prijímanie nových certifikátov Secure Boot. Zariadenia dostanú nové certifikáty až po preukázaní dostatočného počtu signálov úspešnej aktualizácie, čím sa zabezpečí bezpečné a postupné nasadenie.

To znamená, že na aktualizáciu funkcie Secure Boot nemusíte vykonávať žiadne manuálne kroky , okrem toho, že systému umožníte neustále prijímať aktualizácie. Aspoň odteraz, kým nebude k dispozícii aktualizácia zabezpečenia z júna 2026.

Skontrolujte dátum expirácie certifikátu Secure Boot

Keďže nedostanete upozornenie, že váš počítač teraz obsahuje najnovšie certifikačné autority, je dôležité skontrolovať, či vaše zariadenie stále potrebuje aktualizáciu.

Systém Windows 11 nemá žiadny natívny príkaz na zobrazenie dátumu expirácie firmvéru čitateľného človekom. Môžete však skontrolovať, či máte „aktualizované“ certifikáty z roku 2023 (ktoré nahrádzajú tie, ktorých platnosť vyprší v roku 2026), pomocou týchto krokov:

Otvorte PowerShell (admin) a spustite:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Pravda: Máte nový certifikát (platný do roku 2053).
• Nepravda: Pravdepodobne stále používate certifikát z roku 2011 (platnosť vyprší v roku 2026).

Kontrola platnosti certifikátu Secure Boot v PowerShelle / Obrázok: Mauro Huculak

Takmer všetky moderné reťazce Secure Boot sa spoliehajú na certifikáty spoločnosti Microsoft z roku 2011, ktoré majú nasledujúce dátumy expirácie :

• Spoločnosť Microsoft Corporation KEK CA 2011 (24. júna 2026). 
• Certifikácia UEFI spoločnosti Microsoft Corporation 2011 (27. júna 2026).
• Pamäť Microsoft Option ROM UEFI CA 2011 (27. júna 2026).
• Microsoft Windows Production PCA 2011 (19. októbra 2026).

Pre porovnanie, toto robí každý certifikát:

• Certifikát KEK: Dôveryhodná kotva, ktorá umožňuje aktualizáciu databáz podpisov Secure Boot (DB/DBX).
• Certifikáty UEFI CA: Dôverujte podpisom bootloaderov a komponentov firmvéru (vrátane aplikácií EFI tretích strán).
• Voliteľná ROM CA: Dôveruje modulom ROM s voliteľným firmvérom.
• Microsoft Windows Production PCA 2011: Zaisťuje, že firmvér v režime Secure Boot dôveruje zavádzaciemu programu systému Windows a súvisiacim binárnym súborom.

Aktualizácia certifikátov Secure Boot v systéme Windows 11

Ak sa blíži koniec platnosti vašich certifikátov, spoločnosť Microsoft a výrobca vášho počítača (OEM) automaticky odošlú aktualizácie firmvéru alebo aktualizácie „DBX“ prostredníctvom služby Windows Update alebo aktualizácií systému, aby sa zaregistrovali nové certifikáty CA 2023. Svoje Secure Boot však môžete aktualizovať manuálne.

Upozornenie: Pred pokračovaním sa uistite, že máte uložený kľúč na obnovenie BitLocker a že váš systém BIOS (UEFI) je aktuálny. Ak firmvér vášho počítača nepodporuje nové certifikáty, počítač sa po aktualizácii nemusí spustiť. Pred pokračovaním sa tiež odporúča vytvoriť úplnú zálohu počítača.

Otvorte PowerShell (admin) a spustite:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Tento príkaz nastaví kľúč databázy Registry, ktorý dáva operačnému systému pokyn na nasadenie všetkých požadovaných certifikátov (vrátane správcu zavádzania s podpisom PCA 2023).

Hodnota 0x5944je kód „úplného zmiernenia“, ktorý povoľuje všetky relevantné aktualizácie certifikátov.

Systém Windows 11 má vstavanú úlohu, ktorá spracováva tieto zmeny certifikátov, a môžete ju spustiť manuálne, aby ste sa vyhli 12-hodinovému čakaniu pomocou nasledujúceho príkazu:

Start-ScheduledTask-NázovÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"

Aktualizácie PowerShellu pre certifikát Secure Boot / Obrázok: Mauro Huculak

Aktualizácia zvyčajne vyžaduje dva reštarty na úplné použitie. Po prvom reštarte systém aktualizuje správcu zavádzania. Po druhom reštarte dokončí zápis certifikátu do databázy UEFI.

Po reštartovaní môžete overiť, či sa vo vašej databáze nachádza „UEFI CA 2023“, spustením tohto príkazu PowerShell (ako správca):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Pravda: Váš systém je teraz zabezpečený novými certifikátmi.
• Nepravda: Ak po niekoľkých reštartoch zostáva hodnota nepravda, firmvér základnej dosky môže byť príliš starý na to, aby akceptoval nový formát certifikátu. Skontrolujte webovú stránku výrobcu, či nie je k dispozícii aktualizácia systému BIOS súvisiaca s funkciou „Secure Boot“.

Ak je BitLocker aktívny, možno budete musieť dočasne vypnúť šifrovanieSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), kým firmvér úspešne zapíše nové kľúče do zariadenia.