Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

• Microsofts Secure Boot-certifikat från 2011 löper ut i juni 2026.
• De nya Windows UEFI CA 2023-certifikaten förlänger skyddet till 2053.
• Enheter som köpts 2024 eller senare inkluderar vanligtvis redan de uppdaterade certifikaten.
• Äldre datorer får uppdateringen gradvis via Windows Update.
• Du kan verifiera certifikatstatus med hjälp av ett PowerShell-kommando.

På vissa Windows 11- och Windows 10-enheter är de säkera startcertifikaten som först utfärdades 2011 planerade att löpa ut i juni 2026. Även om Microsoft aktivt ersätter dem med 2023-certifikat bör du kontrollera att ditt system redan har övergått till de nyare certifikaten för att förhindra start- eller säkerhetsavbrott.

Säker start är en firmware-baserad skyddsfunktion i Unified Extensible Firmware Interface (UEFI) som säkerställer att en enhet endast laddar programvara som är digitalt signerad och betrodd av tillverkaren. Den skyddar startprocessen genom att förhindra obehöriga ändringar av kritiska startkomponenter innan operativsystemet laddas.

För att åstadkomma detta använder Secure Boot kryptografiska nycklar, så kallade certifikatutfärdare (CA), för att validera firmwaremoduler och bootloaders. Dessa certifikat skapar en förtroendekedja som blockerar skadlig kod från att köras under tidig start.

Liksom alla digitala certifikat har Secure Boot CA:er definierade utgångsdatum. Att 2011 års certifikat når slutet av sin giltighetstid i juni 2026 innebär att system måste ha de nyare 2023 års certifikat installerade för att fortsätta ta emot uppdateringar och starta normalt utan fel vid förtroendevalidering.

Eftersom digitala certifikat har utgångsdatum måste system installera 2023 års certifikat innan 2011 års certifikatutfärdare löper ut i juni 2026 för att fortsätta starta och ta emot uppdateringar korrekt.

Enheter som köpts under 2024 eller senare inkluderar vanligtvis redan de nya certifikaten. För äldre hårdvara distribuerar Microsoft den via Windows Update.

Microsoft identifierar och uppdaterar redan automatiskt Secure Boot-certifieringar genom regelbundna systemuppdateringar, så ingen manuell åtgärd krävs utöver att hålla Windows Update aktiverat och installera månatliga säkerhetsuppdateringar före deadline i juni 2026. Det är dock alltid en bra idé att kontrollera och förstå om din enhet har rätt certifikat.

I den här guiden beskriver jag steg för att kontrollera om 2023 Secure Boot-certifikaten redan är installerade på din dator.

• Kontrollera om din dator har Secure Boot 2023-certifikat med PowerShell
• Kontrollera om din dator har Secure Boot 2023-certifikat med hjälp av Windows-säkerhet

Kontrollera om din dator har Secure Boot 2023-certifikat med PowerShell

För att kontrollera om du har de "uppdaterade" 2023 Secure Boot-certifikaten (som ersätter de som löper ut 2026), följ dessa steg:

1. Öppna Start i Windows 11.

    

    

2. Sök efter PowerShell (eller Terminal ), högerklicka på det översta resultatet och välj alternativet Kör som administratör.

3. Skriv det här kommandot för att kontrollera utgångsdatumet för Secure Boot-certifikaten och tryck på Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

När du har slutfört stegen, om resultatet är "Sant", har du det nya certifikatet (giltigt till 2053). Om resultatet är "Falskt" har du troligtvis fortfarande 2011 års certifikat (som löper ut 2026).

Secure Boot 2011-certifikat upphör att gälla 2026 – vad varje certifikat gör

Nästan alla moderna Secure Boot-kedjor förlitar sig på Microsofts 2011-certifikat, som har följande utgångsdatum :

• Microsoft Corporation KEK CA 2011 (24 juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27 juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27 juni 2026).
• Microsoft Windows Production PCA 2011 (19 oktober 2026).

Som referens, så här gör varje certifikat:

• KEK-certifikat: Förtroendeankare som tillåter uppdatering av Secure Boot-signaturdatabaser (DB/DBX).
• UEFI CA-certifikat: Lita på signaturerna från bootloaders och firmware-komponenter (inklusive EFI-applikationer från tredje part).
• Tillvals-ROM-CA: Litar på tillvals-ROM-moduler för firmware.
• Microsoft Windows Production PCA 2011: Säkerställer att Windows bootloader och relaterade binärfiler är betrodda av den inbyggda programvaran under säker start.

Om dina certifikat närmar sig utgångsdatumet kommer Microsoft och din datortillverkare (OEM) automatiskt att skicka firmwareuppdateringar eller "DBX"-uppdateringar via Windows Update eller systemuppdateringar för att registrera de nya 2023 CA-certifikaten. Du kan alltid installera de nya Secure Boot-certifikaten manuellt .

Varför händelse-ID 1801 visas i Loggboken (och varför det inte är ett fel)

Slutligen kommer du förmodligen att märka att händelse-ID 1801 visas för källan "TPM-WMI (Microsoft-Windows-TPM-WMI)" med meddelandet "BucketConfidenceLevel: Under Observation – More Data Needed" .

Även om det ser ut som ett fel är det inte ett fel. Den här posten betyder att operativsystemet har upptäckt uppdaterade Secure Boot-certifikat men ännu inte har installerat dem på den inbyggda programvaran.

Enheten befinner sig i en uppstarts- och valideringsfas medan Microsoft gradvis rullar ut uppdateringen. Eftersom Secure Boot-nycklar finns i UEFI-firmware och påverkar startkedjan, koordineras övergången noggrant för att undvika startproblem.

Enkelt uttryckt är händelse-ID 1801 bara en statuskontroll som indikerar att Windows utvärderar din enhet som en del av utrullningen av Secure Boot-certifikatet. Meddelandet "Under observation" återspeglar den utvärderingsprocessen. Det indikerar inte ett TPM-problem, fel på Secure Boot eller ett BIOS-fel. Trots att det loggas som ett fel är det enbart informativt.

Övergången till Secure Boot-certifikatet sker i två faser. Först laddar Windows 11 (eller 10) ner och placerar det nya certifikatet i operativsystemet. Senare, efter kompatibilitetskontroller och validering, skrivs certifikatet till systemets firmware och aktiveras.

Enheter kan befinna sig mellan dessa två steg under en viss tid, vilket är anledningen till att TPM-WMI-poster kan fortsätta att visas i Loggboken även om inget är fel.

Kontrollera om din dator har Secure Boot 2023-certifikat med hjälp av Windows-säkerhet

Förutom att använda PowerShell har Windows Security-appen uppdaterats för att visa den exakta statusen för Secure Boot-certifikaten som löper ut 2026. 

För att kontrollera om din dator har de senaste Secure Boot-certifikaten, följ dessa steg:

1. Öppna Start .

2. Sök efter Windows-säkerhet och klicka på det översta resultatet för att öppna appen.

3. Klicka på Enhetssäkerhet i den vänstra rutan.

4. Bekräfta färgen och meddelandet för säker start.

5. (Alternativ 1) Grönt betyder att systemet är helt uppdaterat med de senaste certifikaten och startkomponenterna.

   

6. (Alternativ 2) Gult indikerar att en uppdatering väntar eller är begränsad av kompatibilitetsbegränsningar.

   

7. (Alternativ 3) Rött betyder att systemet inte kan tillämpa de nödvändiga uppdateringarna och behöver åtgärdas.

   

När du har slutfört stegen får du en tydligare förståelse för om ingen åtgärd krävs eller om du behöver fortsätta med den manuella processen för att uppdatera systemets firmware med den nyare versionen av Secure Boot-certifikaten.

Meddelandet som du ser i Windows-säkerhetsappen är kopplat till certifikatuppdateringar som levereras via Windows Update. Systemet utvärderar kompatibilitet med firmware, verifierar certifikatdistributionen och rapporterar resultatet i realtid.

Microsoft lanserar den här uppdateringen till Windows Update-appen gradvis. Om du inte kan avgöra certifikatens status kan du använda PowerShell-alternativet.

Från och med maj 2026 kommer även aviseringar på systemnivå att återspegla dessa tillstånd, vilket ökar synligheten när åtgärder krävs.