Microsoft ersätter utgående Secure Boot-certifikat på Windows 11 – Alla detaljer och hur du uppdaterar ditt

• Säker start förhindrar att skadlig kod på låg nivå äventyrar startprocessen för Windows 11.
• Microsofts ursprungliga Secure Boot-certifikat från 2011 löper ut i juni 2026, och nya certifikat från 2023 förlänger skyddet till 2053.
• Enheter som köpts under 2024 och senare har sannolikt redan de senaste certifikaten. Andra får dem gradvis via Windows Update.
• Du kan kontrollera din certifikatstatus med PowerShell och manuellt uppdatera certifikat med hjälp av registerjusteringar och schemalagda uppgifter om uppdateringar inte har kommit automatiskt.

Certifikatet för din dators Secure Boot-modul löper ut i juni 2026. Med och med säkerhetsuppdateringen från januari 2026 har Microsoft påbörjat en gradvis utrullning av ett nytt certifikat som gör att din dator kan fortsätta starta korrekt och ta emot säkerhetsuppdateringar.

I Windows 11 är säker start en säkerhetsfunktion som finns tillgänglig i UEFI-firmwaren (Unified Extensible Firmware Interface) som förhindrar obehöriga ändringar av kritiska systemfiler under start. Som ett resultat säkerställer den att en enhet startar endast med programvara som är betrodd av tillverkaren.

Med andra ord hjälper Secure Boot till att skydda dina enheter mot skadlig kod på låg nivå (som bootkits och rootkits) som kan infektera startprocessen och få kontroll över din dator innan operativsystemet och ditt antivirusprogram ens har laddats.

Förstå Secure Boot-certifikat

Som en del av processen använder funktionen kryptografiska nycklar (så kallade certifikatutfärdare (CA)) för att validera att firmwaremoduler kommer från en betrodd källa, vilket hjälper till att förhindra att skadlig kod körs under de tidiga stadierna av enhetens start.

Nu har säker start-certifikat alltid haft utgångsdatum, eftersom de hjälper till att säkerställa att din dator fortsätter att ta emot säkerhetsuppdateringar och starta korrekt. Det är därför du måste installera 2023 års certifikat innan 2011 års certifikatutfärdare börjar löpa ut i juni 2026.

Om du har en enhet som köptes 2024 (eller senare) är chansen stor att de senaste certifikaten redan är installerade. För resten av datorerna håller Microsoft dock nu på att lansera de nya Secure Boot-certifikaten via Windows Update.

I "Säkerhetsuppdatering 2026-01 (KB5074109) (26200.7623)" som släpptes den 13 januari 2026, har mjukvarujätten noterat att uppdateringarna nu inkluderar en delmängd av högkonfidentiell enhetsinriktningsdata som identifierar enheter som är berättigade att automatiskt ta emot nya Secure Boot-certifikat. Enheter kommer endast att få de nya certifikaten efter att ha uppvisat tillräckliga lyckade uppdateringssignaler, vilket säkerställer en säker och stegvis distribution.

Det betyder att du inte behöver vidta några manuella steg för att uppdatera Secure Boot , förutom att låta systemet fortsätta ta emot uppdateringar. Åtminstone från och med nu tills säkerhetsuppdateringen i juni 2026 blir tillgänglig.

Kontrollera utgångsdatumet för Secure Boot-certifikatet

Eftersom du inte får någon avisering om att din dator nu innehåller de senaste certifikatutfärdarna är det viktigt att kontrollera om din enhet fortfarande behöver en uppdatering.

Windows 11 har inget inbyggt kommando för att visa det mänskligt läsbara firmware-utgångsdatumet. Du kan dock kontrollera om du har de "uppdaterade" 2023-certifikaten (som ersätter de som löper ut 2026) med hjälp av dessa steg:

Öppna PowerShell (admin) och kör:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sant: Du har det nya certifikatet (giltigt till 2053).
• Falskt: Du har troligen fortfarande kvar certifikatet från 2011 (som går ut 2026).

PowerShell kontrollerar Secure Boot-certifikatets utgångsdatum / Bild: Mauro Huculak

Nästan alla moderna Secure Boot-kedjor förlitar sig på Microsofts 2011-certifikat, som har följande utgångsdatum :

• Microsoft Corporation KEK CA 2011 (24 juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27 juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27 juni 2026).
• Microsoft Windows Production PCA 2011 (19 oktober 2026).

Som referens, så här gör varje certifikat:

• KEK-certifikat: Förtroendeankare som tillåter uppdatering av Secure Boot-signaturdatabaser (DB/DBX).
• UEFI CA-certifikat: Lita på signaturerna från bootloaders och firmware-komponenter (inklusive EFI-applikationer från tredje part).
• Tillvals-ROM-CA: Litar på tillvals-ROM-moduler för firmware.
• Microsoft Windows Production PCA 2011: Säkerställer att Windows bootloader och relaterade binärfiler är betrodda av den inbyggda programvaran under säker start.

Uppdatera säker startcertifikat i Windows 11

Om dina certifikat närmar sig utgångsdatumet kommer Microsoft och din datortillverkare (OEM) automatiskt att skicka firmwareuppdateringar eller "DBX"-uppdateringar via Windows Update eller systemuppdateringar för att registrera de nya 2023 CA-certifikaten. Du kan dock uppdatera din Secure Boot manuellt.

Varning: Innan du fortsätter, se till att du har en BitLocker-återställningsnyckel sparad och att din BIOS (UEFI) är uppdaterad. Om datorns firmware inte stöder de nya certifikaten kan det hända att datorn inte startar efter uppdateringen. Det rekommenderas också att du skapar en fullständig säkerhetskopia av datorn innan du fortsätter.

Öppna PowerShell (admin) och kör:

reg lägg till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tillgängliga uppdateringar /t REG_DWORD /d 0x5944 /f

Det här kommandot anger registernyckeln som instruerar operativsystemet att distribuera alla nödvändiga certifikat (inklusive den PCA 2023-signerade startansvaret).

Värdet 0x5944är koden för "fullständig begränsning" som aktiverar alla relevanta certifikatuppdateringar.

Windows 11 har en inbyggd uppgift som bearbetar dessa certifikatändringar, och du kan utlösa den manuellt för att undvika att vänta i 12 timmar med följande kommando:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell uppdaterar Secure Boot-certifikat / Bild: Mauro Huculak

Uppdateringen kräver vanligtvis två omstarter för att fungera helt. Efter den första omstarten uppdaterar systemet starthanteraren. Efter den andra slutförs certifikatregistreringen i UEFI-databasen.

Efter omstarterna kan du kontrollera om "UEFI CA 2023" nu finns i din databas genom att köra följande PowerShell- kommando (som administratör):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sant: Ditt system är nu säkrat med de nya certifikaten.
• Falskt: Om det förblir falskt efter flera omstarter kan moderkortets firmware vara för gammal för att acceptera det nya certifikatformatet. Kontrollera tillverkarens webbplats för en BIOS-uppdatering relaterad till "Säker start".

Om BitLocker är aktivt kan du behöva inaktivera krypteringen tillfälligt ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) innan den inbyggda programvaran kan skriva de nya nycklarna till enheten.