Microsoft ersätter utgående Secure Boot-certifikat på Windows 11 – Alla detaljer och hur du uppdaterar ditt

  • Säker start förhindrar att skadlig kod på låg nivå äventyrar startprocessen för Windows 11.
  • Microsofts ursprungliga Secure Boot-certifikat från 2011 löper ut i juni 2026, och nya certifikat från 2023 förlänger skyddet till 2053.
  • Enheter som köpts under 2024 och senare har sannolikt redan de senaste certifikaten. Andra får dem gradvis via Windows Update.
  • Du kan kontrollera din certifikatstatus med PowerShell och manuellt uppdatera certifikat med hjälp av registerjusteringar och schemalagda uppgifter om uppdateringar inte har kommit automatiskt.

Certifikatet för din dators Secure Boot-modul löper ut i juni 2026. Med och med säkerhetsuppdateringen från januari 2026 har Microsoft påbörjat en gradvis utrullning av ett nytt certifikat som gör att din dator kan fortsätta starta korrekt och ta emot säkerhetsuppdateringar.

I Windows 11 är säker start en säkerhetsfunktion som finns tillgänglig i UEFI-firmwaren (Unified Extensible Firmware Interface) som förhindrar obehöriga ändringar av kritiska systemfiler under start. Som ett resultat säkerställer den att en enhet startar endast med programvara som är betrodd av tillverkaren.

Med andra ord hjälper Secure Boot till att skydda dina enheter mot skadlig kod på låg nivå (som bootkits och rootkits) som kan infektera startprocessen och få kontroll över din dator innan operativsystemet och ditt antivirusprogram ens har laddats.

 

Förstå Secure Boot-certifikat

Som en del av processen använder funktionen kryptografiska nycklar (så kallade certifikatutfärdare (CA)) för att validera att firmwaremoduler kommer från en betrodd källa, vilket hjälper till att förhindra att skadlig kod körs under de tidiga stadierna av enhetens start.

Nu har säker start-certifikat alltid haft utgångsdatum, eftersom de hjälper till att säkerställa att din dator fortsätter att ta emot säkerhetsuppdateringar och starta korrekt. Det är därför du måste installera 2023 års certifikat innan 2011 års certifikatutfärdare börjar löpa ut i juni 2026.

Om du har en enhet som köptes 2024 (eller senare) är chansen stor att de senaste certifikaten redan är installerade. För resten av datorerna håller Microsoft dock nu på att lansera de nya Secure Boot-certifikaten via Windows Update.

I "Säkerhetsuppdatering 2026-01 (KB5074109) (26200.7623)" som släpptes den 13 januari 2026, har mjukvarujätten noterat att uppdateringarna nu inkluderar en delmängd av högkonfidentiell enhetsinriktningsdata som identifierar enheter som är berättigade att automatiskt ta emot nya Secure Boot-certifikat. Enheter kommer endast att få de nya certifikaten efter att ha uppvisat tillräckliga lyckade uppdateringssignaler, vilket säkerställer en säker och stegvis distribution.

Det betyder att du inte behöver vidta några manuella steg för att uppdatera Secure Boot , förutom att låta systemet fortsätta ta emot uppdateringar. Åtminstone från och med nu tills säkerhetsuppdateringen i juni 2026 blir tillgänglig.

Kontrollera utgångsdatumet för Secure Boot-certifikatet

Eftersom du inte får någon avisering om att din dator nu innehåller de senaste certifikatutfärdarna är det viktigt att kontrollera om din enhet fortfarande behöver en uppdatering.

Windows 11 har inget inbyggt kommando för att visa det mänskligt läsbara firmware-utgångsdatumet. Du kan dock kontrollera om du har de "uppdaterade" 2023-certifikaten (som ersätter de som löper ut 2026) med hjälp av dessa steg:

Öppna PowerShell (admin) och kör:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Sant: Du har det nya certifikatet (giltigt till 2053).
  • Falskt: Du har troligen fortfarande kvar certifikatet från 2011 (som går ut 2026).

Microsoft ersätter utgående Secure Boot-certifikat på Windows 11 – Alla detaljer och hur du uppdaterar ditt

PowerShell kontrollerar Secure Boot-certifikatets utgångsdatum / Bild: Mauro Huculak

Nästan alla moderna Secure Boot-kedjor förlitar sig på Microsofts 2011-certifikat, som har följande utgångsdatum :

  • Microsoft Corporation KEK CA 2011 (24 juni 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 juni 2026).
  • Microsoft Option ROM UEFI CA 2011 (27 juni 2026).
  • Microsoft Windows Production PCA 2011 (19 oktober 2026).

Som referens, så här gör varje certifikat:

  • KEK-certifikat: Förtroendeankare som tillåter uppdatering av Secure Boot-signaturdatabaser (DB/DBX).
  • UEFI CA-certifikat: Lita på signaturerna från bootloaders och firmware-komponenter (inklusive EFI-applikationer från tredje part).
  • Tillvals-ROM-CA: Litar på tillvals-ROM-moduler för firmware.
  • Microsoft Windows Production PCA 2011: Säkerställer att Windows bootloader och relaterade binärfiler är betrodda av den inbyggda programvaran under säker start.

Uppdatera säker startcertifikat i Windows 11

Om dina certifikat närmar sig utgångsdatumet kommer Microsoft och din datortillverkare (OEM) automatiskt att skicka firmwareuppdateringar eller "DBX"-uppdateringar via Windows Update eller systemuppdateringar för att registrera de nya 2023 CA-certifikaten. Du kan dock uppdatera din Secure Boot manuellt.

Varning: Innan du fortsätter, se till att du har en BitLocker-återställningsnyckel sparad och att din BIOS (UEFI) är uppdaterad. Om datorns firmware inte stöder de nya certifikaten kan det hända att datorn inte startar efter uppdateringen. Det rekommenderas också att du skapar en fullständig säkerhetskopia av datorn innan du fortsätter.

Öppna PowerShell (admin) och kör:

reg lägg till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tillgängliga uppdateringar /t REG_DWORD /d 0x5944 /f

Det här kommandot anger registernyckeln som instruerar operativsystemet att distribuera alla nödvändiga certifikat (inklusive den PCA 2023-signerade startansvaret).

Värdet 0x5944är koden för "fullständig begränsning" som aktiverar alla relevanta certifikatuppdateringar.

Windows 11 har en inbyggd uppgift som bearbetar dessa certifikatändringar, och du kan utlösa den manuellt för att undvika att vänta i 12 timmar med följande kommando:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft ersätter utgående Secure Boot-certifikat på Windows 11 – Alla detaljer och hur du uppdaterar ditt

PowerShell uppdaterar Secure Boot-certifikat / Bild: Mauro Huculak

Uppdateringen kräver vanligtvis två omstarter för att fungera helt. Efter den första omstarten uppdaterar systemet starthanteraren. Efter den andra slutförs certifikatregistreringen i UEFI-databasen.

Efter omstarterna kan du kontrollera om "UEFI CA 2023" nu finns i din databas genom att köra följande PowerShell- kommando (som administratör):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Sant: Ditt system är nu säkrat med de nya certifikaten.
  • Falskt: Om det förblir falskt efter flera omstarter kan moderkortets firmware vara för gammal för att acceptera det nya certifikatformatet. Kontrollera tillverkarens webbplats för en BIOS-uppdatering relaterad till "Säker start".

Om BitLocker är aktivt kan du behöva inaktivera krypteringen tillfälligt ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) innan den inbyggda programvaran kan skriva de nya nycklarna till enheten.

Lämna en kommentar

Hur man använder Tiny11 Builder för att skapa en anpassad Windows 11 ISO utan skräpprogram

Hur man använder Tiny11 Builder för att skapa en anpassad Windows 11 ISO utan skräpprogram

Skapa en debloated Windows 11 ISO med Tiny11 Builder. Ta bort standardappar, hoppa över Microsoft-kontot och skapa en ren installationsavbildning.

Hur man använder Rufus för att skapa en startbar Windows 11 25H2 USB-skiva

Hur man använder Rufus för att skapa en startbar Windows 11 25H2 USB-skiva

För att använda Rufus för att skapa en Windows 11 25H2 USB, öppna verktyget, välj öppna befintlig eller ladda ner ISO-filen och välj det anpassade alternativet. Så här gör du här.

Bygg 26120.3964 (KB5058496) för Windows 11 lägger till en ny AI-agent i inställningarna i betakanalen.

Bygg 26120.3964 (KB5058496) för Windows 11 lägger till en ny AI-agent i inställningarna i betakanalen.

Windows 11 build 26120.3964 (KB5058496) levererar AI-agent för inställningar, lägger till filöverföringsalternativ för säkerhetskopieringsappen, Click to Do utökar åtgärder.

Uppgradera datorer som inte stöds (24H2) till Windows 11 25H2 utan ominstallation eller extra verktyg

Uppgradera datorer som inte stöds (24H2) till Windows 11 25H2 utan ominstallation eller extra verktyg

För att uppgradera från Windows 11 24H2 till version 25H2 utan ominstallation eller extra verktyg måste du installera aktiveringspaketet manuellt.

Hur man visar tiden i Notifieringscenter i Windows 11

Hur man visar tiden i Notifieringscenter i Windows 11

För att aktivera klockan i Notiscenter i Windows 11, öppna Inställningar > Tid och språk > Datum och tid och aktivera Visa tid i Notiscenter.

Hur man installerar Windows 11 utan bloatware på hårdvara som inte stöds

Hur man installerar Windows 11 utan bloatware på hårdvara som inte stöds

För att installera Windows 11 utan bloatware med ett lokalt konto på hårdvara som inte stöds, integrera en autounattend.xml-fil i en startbar USB-enhet.

Googles nya läcka av Aluminium OS antyder en direkt rival för Windows 11

Googles nya läcka av Aluminium OS antyder en direkt rival för Windows 11

Googles läcka av Aluminium OS avslöjar Androids fullständiga skrivbordsgränssnitt, multitasking, Chrome-tillägg och AI, en potentiell rival till Windows 11.

Microsoft stoppar aggressiv AI-satsning på Windows 11 – Copilot skalas ner, återkallelse granskas

Microsoft stoppar aggressiv AI-satsning på Windows 11 – Copilot skalas ner, återkallelse granskas

Microsoft minskar enligt uppgift Copilot på Windows 11-appar efter användarnas motreaktioner, pausar nya AI-funktioner och granskar befintliga integrationer.

Så här aktiverar du viloläge i Windows 11

Så här aktiverar du viloläge i Windows 11

För att aktivera viloläge i Windows 11, kör kommandot powercfg /hibernate on och aktivera Hibernate för Start i Kontrollpanelen/Energialternativ.

Windows 11 har äntligen ett ordentligt alternativ till Aktivitetshanteraren – möt AppControl

Windows 11 har äntligen ett ordentligt alternativ till Aktivitetshanteraren – möt AppControl

AppControl ger 3-dagars systemhistorik, spårning av appstarter och varningar till Windows 11. Är det bättre än Aktivitetshanteraren? Här är den fullständiga sammanfattningen.