Мајкрософт замењује истичуће сертификате Secure Boot на Windows 11 – Сви детаљи и како да ажурирате свој

• Безбедно покретање спречава да злонамерни софтвер ниског нивоа угрози процес покретања система Windows 11.
• Мајкрософтови оригинални сертификати за безбедно покретање из 2011. године истичу у јуну 2026. године, а нови сертификати из 2023. године продужавају заштиту до 2053. године.
• Уређаји купљени 2024. године и касније вероватно већ имају најновије сертификате. Остали их постепено добијају путем Windows Update-а.
• Статус сертификата можете проверити помоћу PowerShell-а и ручно ажурирати сертификате помоћу подешавања регистра и заказаних задатака ако ажурирања нису стигла аутоматски.

Сертификат за модул Secure Boot вашег рачунара истиче у јуну 2026. Почевши од безбедносног ажурирања из јануара 2026 , Microsoft је започео постепено увођење новог сертификата који ће омогућити вашем рачунару да настави са исправним покретањем и прима безбедносна ажурирања.

У оперативном систему Windows 11 , Secure Boot је безбедносна функција доступна у фирмверу Unified Extensible Firmware Interface (UEFI) која спречава неовлашћене измене критичних системских датотека током покретања. Као резултат тога, осигурава се да се уређај покреће користећи само софтвер којем произвођач верује.

Другим речима, Secure Boot помаже у заштити ваших уређаја од злонамерног софтвера ниског нивоа (као што су bootkits и rootkits) који може да зарази процес покретања и преузме контролу над вашим рачунаром пре него што се оперативни систем и ваш антивирусни софтвер уопште учитају.

Разумевање сертификата за безбедно покретање

Као део процеса, функција користи криптографске кључеве (познате као ауторитети за сертификате (CA)) да би потврдила да модули фирмвера долазе из поузданог извора, што помаже у спречавању покретања злонамерног софтвера током раних фаза покретања уређаја.

Сертификати за безбедно покретање (Secure Boot) су увек имали датуме истека, јер помажу да се осигура да ваш рачунар континуирано прима безбедносна ажурирања и да се правилно покреће. Зато морате да инсталирате сертификате из 2023. пре него што сертификати из 2011. почну да истичу у јуну 2026. године.

Ако имате уређај купљен 2024. године (или касније), вероватно је да су најновији сертификати већ инсталирани. Међутим, за остале рачунаре, Мајкрософт је сада у процесу увођења нових сертификата за безбедно покретање путем услуге Windows Update.

У „Безбедносном ажурирању 2026-01 (KB5074109) (26200.7623)“ објављеном 13. јануара 2026. године, софтверски гигант је напоменуо да ажурирања сада укључују подскуп података о циљању уређаја високе поузданости који идентификују уређаје који испуњавају услове за аутоматско примање нових сертификата за безбедно покретање. Уређаји ће добити нове сертификате тек након што покажу довољно успешних сигнала ажурирања, осигуравајући безбедно и фазно распоређивање.

То значи да не морате да предузимате никакве ручне кораке да бисте ажурирали Secure Boot , осим што ћете дозволити систему да континуирано прима ажурирања. Барем од сада док не постане доступно безбедносно ажурирање из јуна 2026. године.

Проверите датум истека сертификата Secure Boot

Пошто нећете добити обавештење да ваш рачунар сада садржи најновије сертификате, важно је да проверите да ли вашем уређају и даље треба ажурирање.

Windows 11 нема изворну команду за приказивање датума истека фирмвера који је читљив људима. Међутим, можете проверити да ли имате „ажуриране“ сертификате за 2023. годину (који замењују оне који истичу 2026. године) користећи ове кораке:

Отворите PowerShell (администраторски) и покрените:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Тачно: Имате нови сертификат (важи до 2053. године).
• Нетачно: Вероватно још увек користите сертификат из 2011. (истиче 2026. године).

Провера истека рока важења сертификата Secure Boot у PowerShell-у / Слика: Мауро Хуцулак

Скоро сви модерни ланци Secure Boot-а ослањају се на Microsoft-ове сертификате из 2011. године, који имају следеће датуме истека :

• Microsoft Corporation KEK CA 2011 (24. јун 2026). 
• Microsoft Corporation UEFI CA 2011 (27. јун 2026).
• Microsoft Option ROM UEFI CA 2011 (27. јун 2026).
• Мајкрософт Виндоус продукцијски PCA 2011 (19. октобар 2026).

За референцу, ево шта сваки сертификат ради:

• KEK сертификат: Сидро поверења које омогућава ажурирање база података потписа Secure Boot (DB/DBX).
• UEFI CA сертификати: Верујте потписима покретачких програма и компоненти фирмвера (укључујући EFI апликације трећих страна).
• Опциони ROM CA: Верује модулима опционог ROM-а фирмвера.
• Microsoft Windows Production PCA 2011: Осигурава да фирмвер у оквиру Secure Boot-а верује Windows покретачком програму и повезаним бинарним датотекама.

Ажурирајте сертификате за безбедно покретање на оперативном систему Windows 11

Ако се ваши сертификати ближе истеку, Microsoft и произвођач вашег рачунара (OEM) ће аутоматски објавити ажурирања фирмвера или „DBX“ ажурирања путем Windows Update-а или системских ажурирања како би регистровали нове CA сертификате из 2023. Међутим, можете ручно ажурирати свој Secure Boot.

Упозорење: Пре него што наставите, уверите се да имате сачуван кључ за опоравак BitLocker- а и да је ваш BIOS (UEFI) ажуриран. Ако фирмвер вашег рачунара не подржава нове сертификате, рачунар се можда неће покренути након ажурирања. Такође се препоручује да направите потпуну резервну копију рачунара пре него што наставите.

Отворите PowerShell (администраторски) и покрените:

рег додај ХКЈУ_ЛОКАЛ_МАШИНА\СИСТЕМ\ЦуррентКонтролСет\Контрол\Сецуребоот /в АвајлабилнеУпдатес /т РЕГ_ДВОРД /д 0x5944 /ф

Ова команда поставља кључ регистра који налаже оперативном систему да распореди све потребне сертификате (укључујући и менаџер покретања потписан PCA 2023).

Вредност 0x5944је код за „потпуно ублажавање“ који омогућава сва релевантна ажурирања сертификата.

Windows 11 има уграђени задатак који обрађује ове измене сертификата, а можете га покренути ручно да бисте избегли чекање од 12 сати следећом командом:

Старт-ЗаказаниЗадатак -НазивЗадатка "\Мајкрософт\Виндоус\ПИ\Безбедно-Покретање-Ажурирање"

PowerShell ажурира сертификат за сигурно покретање / Слика: Мауро Хуцулак

Ажурирање обично захтева два поновна покретања да би се у потпуности применило. Након првог поновног покретања, систем ажурира менаџер покретања. Након другог, завршава се упис сертификата у UEFI базу података.

Након поновног покретања, можете проверити да ли је „UEFI CA 2023“ сада присутан у вашој бази података покретањем ове PowerShell команде (као администратор):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Тачно: Ваш систем је сада заштићен новим сертификатима.
• Нетачно: Ако остане нетачно након неколико поновних покретања, фирмвер матичне плоче је можда престар да би прихватио нови формат сертификата. Проверите веб локацију произвођача за ажурирање BIOS-а везано за „Secure Boot“.

Ако је BitLocker активан, можда ћете морати привремено да онемогућите шифровањеSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ) пре него што фирмвер може успешно да запише нове кључеве на уређај.