Мајкрософт објашњава безбедносне ризике сертификата Secure Boot који истичу 2026. године на Windows 11

• Сертификати за безбедно покретање (Secure Boot) уведени 2011. године истичу крајем јуна 2026. године.
• Рачунари ће наставити да се нормално покретају након истека.
• Уређаји без ажурираних сертификата улазе у стање смањене безбедности.
• Подржани Windows 11 и Windows 10 уређаји аутоматски добијају ажурирања путем Windows Update-а.
• Неподржани системи, укључујући Windows 10 након октобра 2025. без ESU-а, неће добити нове сертификате.

Мајкрософт је потврдио да ће уређаји са оригиналним сертификатима Secure Boot, представљеним 2011. године, почети да истичу крајем јуна 2026. године, што ће покренути велико безбедносно ажурирање које утиче на скоро сваки модерни рачунар.

Безбедно покретање (Secure Boot) је безбедносни механизам доступан у фирмверу Unified Extensible Firmware Interface (UEFI) који се покреће при покретању, пре него што се оперативни систем учита. Сврха ове функције је да провери да ли се само поуздан, дигитално потписан код може извршавати током покретања, блокирајући буткитове и друге претње ниског нивоа које покушавају да угрозе систем током покретања. У протеклих 15 година, овај процес се ослањао на сертификате уграђене у фирмвер уређаја, али ти сертификати сада ближе крају свог планираног животног циклуса.

Хоће ли ваш рачунар престати да ради 2026. године?

Кратак одговор је не. Када оригинални сертификати истекну, рачунари ће наставити да се покретају, а Windows 11 (или 10) ће наставити да се нормално учитава. Апликације неће изненада отказати и нећете видети тренутни прекид рада.

Међутим, системи који не приме ажуриране сертификате за Secure Boot ући ће у стање смањене безбедности. Међутим, то не значи да је рачунар одмах небезбедан. То једноставно значи да уређај више неће моћи да прихвата будућа ажурирања ланца поверења Secure Boot.

Временом, како се откривају нове рањивости на нивоу покретања, ти системи можда неће моћи да инсталирају нове мере за ублажавање. Машина наставља да ради, али њене заштите при покретању се више не развијају, и то дугорочно ограничење је права брига.

Зашто Мајкрософт замењује сертификате за сигурно покретање

Безбедносни сертификати нису намењени да трају вечно. Како се безбедносни стандарди развијају, кључеви за шифровање и сидра поверења морају се ажурирати како би се спречило да застарели акредитиви постану рањивости. Истек важења сертификата Secure Boot из 2011. године био је планиран од самог почетка.

Оно што ову транзицију чини значајном јесте њен обим. Безбедно покретање (Secure Boot) функционише на нивоу фирмвера, не само унутар самог оперативног система. Његово ажурирање захтева координацију између сервисирања Windows 11 (и 10), фирмвера уређаја и произвођача хардвера на милионима јединствених конфигурација уређаја широм света.

Мајкрософт ово описује као један од највећих координисаних напора за одржавање безбедности у Windows екосистему.

Како се ажурирање испоручује

Софтверски гигант је већ почео да уводи нове Secure Boot сертификате кроз редовна месечна ажурирања за подржане верзије, укључујући Windows 11 и 10. За већину кућних корисника и предузећа која дозвољавају компанији да управља ажурирањима, ажурирања би требало да се дешавају аутоматски у позадини.

У неким случајевима, посебно на старијем хардверу, може бити потребно ажурирање фирмвера од стране произвођача уређаја пре него што се нови сертификати могу успешно применити. Мајкрософт каже да је тесно сарађивао са главним произвођачима рачунара (као што су Dell, HP и Lenovo) како би припремио уређаје за прелазак.

Скоро сви уређаји произведени од 2024. године већ укључују ажуриране сертификате, а скоро сви системи испоручени 2025. године су опремљени њима одмах по инсталацији.

Шта је са неподржаним верзијама Windows-а?

Уређаји који користе неподржане верзије оперативног система неће добити нове сертификате за безбедно покретање путем услуге Windows Update. Ово укључује и Windows 10 након завршетка подршке у октобру 2025. године, осим ако уређај није регистрован за продужена безбедносна ажурирања .

Ти системи ће наставити да функционишу након истека сертификата из 2011. године, али ће им остати трајно ограничена могућност да примају будућа безбедносна побољшања на нивоу покретања система. Како се платформа развија, ово може постепено повећавати изложеност новим претњама и проблемима компатибилности са новијим фирмвером, хардвером или издањима Windows-а.

Шта би требало сада да урадите?

За већину људи, најбезбеднији поступак је једноставан, не заборавите да редовно ажурирате Windows 11 (и 10) и да проверите страницу за подршку произвођача да ли је фирмвер вашег уређаја актуелан. Мајкрософт је назначио да ће се додатне информације о статусу ажурирања сертификата појавити у апликацији Windows безбедност у наредним месецима, пружајући бољи увид у процес.

Увек можете ручно проверити и ажурирати сертификат Secure Boot користећи ова упутства.

Организације које управљају великим бројем рачунара требало би да ово третирају као вежбу валидације и планирања имплементације, а не као једноставно ажурирање „Уторак закрпа“.