Како проверити да ли ваш рачунар има ажуриране сертификате за сигурно покретање на Windows 11, 10

• Мајкрософтови сертификати за безбедно покретање из 2011. године истичу у јуну 2026. године.
• Нови Windows UEFI CA 2023 сертификати продужавају заштиту до 2053. године.
• Уређаји купљени 2024. године или касније обично већ укључују ажуриране сертификате.
• Старији рачунари постепено добијају ажурирање путем услуге Windows Update.
• Статус сертификата можете проверити помоћу PowerShell команде.

На неким Windows 11 и Windows 10 уређајима, сертификати за безбедно покретање (Secure Boot) први пут издати 2011. године истичу у јуну 2026. године. Иако их Microsoft активно замењује сертификатима из 2023. године, требало би да проверите да ли је ваш систем већ прешао на новије сертификате како бисте спречили прекиде при покретању или безбедности.

Безбедно покретање (Secure Boot) је заштитна функција заснована на фирмверу у оквиру Уједињеног проширивог интерфејса фирмвера (UEFI) која осигурава да уређај учитава само софтвер који је дигитално потписан и коме је произвођач веровао. Она штити процес покретања спречавањем неовлашћених измена критичних компоненти за покретање пре него што се оперативни систем учита.

Да би се ово постигло, Secure Boot користи криптографске кључеве, познате као ауторитети за сертификате (CA), за валидацију модула фирмвера и покретачких програма. Ови сертификати стварају ланац поверења који блокира покретање злонамерног кода током раног покретања.

Као и сви дигитални сертификати, сертификати за безбедно покретање (Secure Boot CA) имају дефинисане датуме истека. Сертификати из 2011. године којима истиче крај важења у јуну 2026. године, значи да системи морају имати инсталиране новије сертификате из 2023. године да би наставили да примају ажурирања и нормално се покретају без грешака у валидацији поверења.

Пошто дигитални сертификати имају датуме истека, системи морају да инсталирају сертификате из 2023. пре него што сертификати из 2011. истекну у јуну 2026. године како би наставили са исправним покретањем и примањем ажурирања.

Уређаји купљени 2024. године или касније обично већ укључују нове сертификате. За старији хардвер, Microsoft га дистрибуира путем Windows Update-а.

Мајкрософт већ идентификује и аутоматски ажурира сертификате за безбедно покретање путем редовних системских ажурирања, тако да није потребна никаква ручна акција осим одржавања Windows Update- а омогућеним и инсталирања месечних безбедносних ажурирања пре рока у јуну 2026. Међутим, увек је добра идеја да проверите и разумете да ли ваш уређај има одговарајуће сертификате.

У овом водичу ћу описати кораке за проверу да ли су сертификати Secure Boot из 2023. већ инсталирани на вашем рачунару.

• Проверите да ли ваш рачунар има сертификате Secure Boot 2023 помоћу PowerShell-а
• Проверите да ли ваш рачунар има сертификате Secure Boot 2023 помоћу програма Windows Security

Проверите да ли ваш рачунар има сертификате Secure Boot 2023 помоћу PowerShell-а

Да бисте проверили да ли имате „ажуриране“ сертификате за безбедно покретање из 2023. (који замењују оне који истичу 2026. године), користите ове кораке:

1. Отворите Старт у оперативном систему Windows 11.

    

    

2. Потражите PowerShell (или Terminal ), кликните десним тастером миша на горњи резултат и изаберите опцију Покрени као администратор.

3. Унесите ову команду да бисте проверили датум истека сертификата Secure Boot и притисните Ентер: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

Када завршите кораке, ако је резултат „Тачно“, имате нови сертификат (важи до 2053. године). Ако је резултат „Нетачно“, вероватно још увек користите сертификат из 2011. године (истиче 2026. године).

Сертификати за Secure Boot 2011 истичу 2026. године – шта сваки сертификат ради

Скоро сви модерни ланци Secure Boot-а ослањају се на Microsoft-ове сертификате из 2011. године, који имају следеће датуме истека :

• Microsoft Corporation KEK CA 2011 (24. јун 2026). 
• Microsoft Corporation UEFI CA 2011 (27. јун 2026).
• Microsoft Option ROM UEFI CA 2011 (27. јун 2026).
• Мајкрософт Виндоус продукцијски PCA 2011 (19. октобар 2026).

За референцу, ево шта сваки сертификат ради:

• KEK сертификат: Сидро поверења које омогућава ажурирање база података потписа Secure Boot (DB/DBX).
• UEFI CA сертификати: Верујте потписима покретачких програма и компоненти фирмвера (укључујући EFI апликације трећих страна).
• Опциони ROM CA: Верује модулима опционог ROM-а фирмвера.
• Microsoft Windows Production PCA 2011: Осигурава да фирмвер у оквиру Secure Boot-а верује Windows покретачком програму и повезаним бинарним датотекама.

Ако се ваши сертификати ближе истеку, Microsoft и произвођач вашег рачунара (OEM) ће аутоматски објавити ажурирања фирмвера или „DBX“ ажурирања путем Windows Update-а или системских ажурирања како би се регистровали нови CA сертификати из 2023. Увек можете ручно инсталирати нове Secure Boot сертификате .

Зашто се догађај ID 1801 појављује у прегледачу догађаја (и зашто то није грешка)

Коначно, вероватно ћете приметити да се ИД догађаја 1801 појављује за извор „TPM-WMI (Microsoft-Windows-TPM-WMI)“ са поруком „BucketConfidenceLevel: Under Proofing – More Data Needed“ .

Иако изгледа као грешка, то није квар. Овај унос значи да је оперативни систем открио ажуриране сертификате Secure Boot-а, али их још није применио на фирмвер.

Уређај је у фази припреме и валидације док Мајкрософт постепено уводи ажурирање. Пошто се кључеви за безбедно покретање налазе у UEFI фирмверу и утичу на ланац покретања, прелаз је пажљиво координисан како би се избегли проблеми са покретањем.

Једноставно речено, ИД догађаја 1801 је само провера статуса која указује да Windows процењује ваш уређај као део имплементације сертификата Secure Boot. Порука „Под посматрањем“ одражава тај процес процене. Она не указује на проблем са TPM-ом, оштећење Secure Boot-а или квар BIOS-а. Упркос томе што је евидентирана као грешка, она је чисто информативне природе.

Прелазак сертификата за Secure Boot се одвија у две фазе. Прво, Windows 11 (или 10) преузима и поставља нови сертификат унутар оперативног система. Касније, након провере компатибилности и валидације, сертификат се уписује у системски фирмвер и активира.

Уређаји могу остати између ове две фазе током одређеног временског периода, због чега се TPM-WMI уноси могу наставити појављивати у Прегледачу догађаја иако ништа није у реду.

Проверите да ли ваш рачунар има сертификате Secure Boot 2023 помоћу програма Windows Security

Поред коришћења PowerShell-а, апликација Windows Security је ажурирана како би приказивала тачно стање сертификата Secure Boot који истичу 2026. године. 

Да бисте проверили да ли ваш рачунар има најновије сертификате за безбедно покретање (Secure Boot), користите ове кораке:

1. Отворите Старт .

2. Потражите „Безбедност система Windows“ и кликните на први резултат да бисте отворили апликацију.

3. Кликните на Безбедност уређаја у левом окну.

4. Потврдите боју и поруку значке Безбедно покретање.

5. (Опција 1) Зелена боја значи да је систем потпуно ажуриран најновијим сертификатима и компонентама за покретање.

   

6. (Опција 2) Жута боја означава да је ажурирање на чекању или је ограничено ограничењима компатибилности.

   

7. (Опција 3) Црвена боја значи да систем не може да примени потребна ажурирања и да му је потребна интервенција.

   

Након што завршите кораке, имаћете јаснију слику о томе да ли није потребна никаква акција или треба да наставите са ручним поступком ажурирања фирмвера система новијом верзијом сертификата за безбедно покретање.

Порука коју ћете видети у апликацији Windows безбедност повезана је са ажурирањима сертификата испорученим путем Windows Update-а. Систем процењује компатибилност фирмвера, проверава имплементацију сертификата и извештава о резултату у реалном времену.

Мајкрософт постепено уводи ово ажурирање за апликацију Windows Update. Ако не можете да утврдите стање сертификата, користите опцију PowerShell.

Такође, почев од маја 2026. године, обавештења на нивоу система ће одражавати ова стања, повећавајући видљивост када је потребна акција.