Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

  • Microsofts Secure Boot-certifikat från 2011 löper ut i juni 2026.
  • De nya Windows UEFI CA 2023-certifikaten förlänger skyddet till 2053.
  • Enheter som köpts 2024 eller senare inkluderar vanligtvis redan de uppdaterade certifikaten.
  • Äldre datorer får uppdateringen gradvis via Windows Update.
  • Du kan verifiera certifikatstatus med hjälp av ett PowerShell-kommando.

På vissa Windows 11- och Windows 10-enheter är de säkera startcertifikaten som först utfärdades 2011 planerade att löpa ut i juni 2026. Även om Microsoft aktivt ersätter dem med 2023-certifikat bör du kontrollera att ditt system redan har övergått till de nyare certifikaten för att förhindra start- eller säkerhetsavbrott.

Säker start är en firmware-baserad skyddsfunktion i Unified Extensible Firmware Interface (UEFI) som säkerställer att en enhet endast laddar programvara som är digitalt signerad och betrodd av tillverkaren. Den skyddar startprocessen genom att förhindra obehöriga ändringar av kritiska startkomponenter innan operativsystemet laddas.

För att åstadkomma detta använder Secure Boot kryptografiska nycklar, så kallade certifikatutfärdare (CA), för att validera firmwaremoduler och bootloaders. Dessa certifikat skapar en förtroendekedja som blockerar skadlig kod från att köras under tidig start.

Liksom alla digitala certifikat har Secure Boot CA:er definierade utgångsdatum. Att 2011 års certifikat når slutet av sin giltighetstid i juni 2026 innebär att system måste ha de nyare 2023 års certifikat installerade för att fortsätta ta emot uppdateringar och starta normalt utan fel vid förtroendevalidering.

Eftersom digitala certifikat har utgångsdatum måste system installera 2023 års certifikat innan 2011 års certifikatutfärdare löper ut i juni 2026 för att fortsätta starta och ta emot uppdateringar korrekt.

Enheter som köpts under 2024 eller senare inkluderar vanligtvis redan de nya certifikaten. För äldre hårdvara distribuerar Microsoft den via Windows Update.

Microsoft identifierar och uppdaterar redan automatiskt Secure Boot-certifieringar genom regelbundna systemuppdateringar, så ingen manuell åtgärd krävs utöver att hålla Windows Update aktiverat och installera månatliga säkerhetsuppdateringar före deadline i juni 2026. Det är dock alltid en bra idé att kontrollera och förstå om din enhet har rätt certifikat.

I den här guiden beskriver jag steg för att kontrollera om 2023 Secure Boot-certifikaten redan är installerade på din dator.

Kontrollera om din dator har Secure Boot 2023-certifikat med PowerShell

För att kontrollera om du har de "uppdaterade" 2023 Secure Boot-certifikaten (som ersätter de som löper ut 2026), följ dessa steg:

  1. Öppna Start i Windows 11.

     

     

  2. Sök efter PowerShell (eller Terminal ), högerklicka på det översta resultatet och välj alternativet Kör som administratör.

  3. Skriv det här kommandot för att kontrollera utgångsdatumet för Secure Boot-certifikaten och tryck på Enter: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

När du har slutfört stegen, om resultatet är "Sant", har du det nya certifikatet (giltigt till 2053). Om resultatet är "Falskt" har du troligtvis fortfarande 2011 års certifikat (som löper ut 2026).

Secure Boot 2011-certifikat upphör att gälla 2026 – vad varje certifikat gör

Nästan alla moderna Secure Boot-kedjor förlitar sig på Microsofts 2011-certifikat, som har följande utgångsdatum :

  • Microsoft Corporation KEK CA 2011 (24 juni 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 juni 2026).
  • Microsoft Option ROM UEFI CA 2011 (27 juni 2026).
  • Microsoft Windows Production PCA 2011 (19 oktober 2026).

Som referens, så här gör varje certifikat:

  • KEK-certifikat: Förtroendeankare som tillåter uppdatering av Secure Boot-signaturdatabaser (DB/DBX).
  • UEFI CA-certifikat: Lita på signaturerna från bootloaders och firmware-komponenter (inklusive EFI-applikationer från tredje part).
  • Tillvals-ROM-CA: Litar på tillvals-ROM-moduler för firmware.
  • Microsoft Windows Production PCA 2011: Säkerställer att Windows bootloader och relaterade binärfiler är betrodda av den inbyggda programvaran under säker start.

Om dina certifikat närmar sig utgångsdatumet kommer Microsoft och din datortillverkare (OEM) automatiskt att skicka firmwareuppdateringar eller "DBX"-uppdateringar via Windows Update eller systemuppdateringar för att registrera de nya 2023 CA-certifikaten. Du kan alltid installera de nya Secure Boot-certifikaten manuellt .

Varför händelse-ID 1801 visas i Loggboken (och varför det inte är ett fel)

Slutligen kommer du förmodligen att märka att händelse-ID 1801 visas för källan "TPM-WMI (Microsoft-Windows-TPM-WMI)" med meddelandet "BucketConfidenceLevel: Under Observation – More Data Needed" .

Även om det ser ut som ett fel är det inte ett fel. Den här posten betyder att operativsystemet har upptäckt uppdaterade Secure Boot-certifikat men ännu inte har installerat dem på den inbyggda programvaran.

Enheten befinner sig i en uppstarts- och valideringsfas medan Microsoft gradvis rullar ut uppdateringen. Eftersom Secure Boot-nycklar finns i UEFI-firmware och påverkar startkedjan, koordineras övergången noggrant för att undvika startproblem.

Enkelt uttryckt är händelse-ID 1801 bara en statuskontroll som indikerar att Windows utvärderar din enhet som en del av utrullningen av Secure Boot-certifikatet. Meddelandet "Under observation" återspeglar den utvärderingsprocessen. Det indikerar inte ett TPM-problem, fel på Secure Boot eller ett BIOS-fel. Trots att det loggas som ett fel är det enbart informativt.

Övergången till Secure Boot-certifikatet sker i två faser. Först laddar Windows 11 (eller 10) ner och placerar det nya certifikatet i operativsystemet. Senare, efter kompatibilitetskontroller och validering, skrivs certifikatet till systemets firmware och aktiveras.

Enheter kan befinna sig mellan dessa två steg under en viss tid, vilket är anledningen till att TPM-WMI-poster kan fortsätta att visas i Loggboken även om inget är fel.

Kontrollera om din dator har Secure Boot 2023-certifikat med hjälp av Windows-säkerhet

Förutom att använda PowerShell har Windows Security-appen uppdaterats för att visa den exakta statusen för Secure Boot-certifikaten som löper ut 2026. 

För att kontrollera om din dator har de senaste Secure Boot-certifikaten, följ dessa steg:

  1. Öppna Start .

  2. Sök efter Windows-säkerhet och klicka på det översta resultatet för att öppna appen.

  3. Klicka på Enhetssäkerhet i den vänstra rutan.

  4. Bekräfta färgen och meddelandet för säker start.

  5. (Alternativ 1) Grönt betyder att systemet är helt uppdaterat med de senaste certifikaten och startkomponenterna.

    Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

  6. (Alternativ 2) Gult indikerar att en uppdatering väntar eller är begränsad av kompatibilitetsbegränsningar.

    Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

  7. (Alternativ 3) Rött betyder att systemet inte kan tillämpa de nödvändiga uppdateringarna och behöver åtgärdas.

    Så här kontrollerar du om din dator har uppdaterade Secure Boot-certifikat i Windows 11 och 10

När du har slutfört stegen får du en tydligare förståelse för om ingen åtgärd krävs eller om du behöver fortsätta med den manuella processen för att uppdatera systemets firmware med den nyare versionen av Secure Boot-certifikaten.

Meddelandet som du ser i Windows-säkerhetsappen är kopplat till certifikatuppdateringar som levereras via Windows Update. Systemet utvärderar kompatibilitet med firmware, verifierar certifikatdistributionen och rapporterar resultatet i realtid.

Microsoft lanserar den här uppdateringen till Windows Update-appen gradvis. Om du inte kan avgöra certifikatens status kan du använda PowerShell-alternativet.

Från och med maj 2026 kommer även aviseringar på systemnivå att återspegla dessa tillstånd, vilket ökar synligheten när åtgärder krävs.

Lämna en kommentar

Hur man använder Tiny11 Builder för att skapa en anpassad Windows 11 ISO utan skräpprogram

Hur man använder Tiny11 Builder för att skapa en anpassad Windows 11 ISO utan skräpprogram

Skapa en debloated Windows 11 ISO med Tiny11 Builder. Ta bort standardappar, hoppa över Microsoft-kontot och skapa en ren installationsavbildning.

Hur man använder Rufus för att skapa en startbar Windows 11 25H2 USB-skiva

Hur man använder Rufus för att skapa en startbar Windows 11 25H2 USB-skiva

För att använda Rufus för att skapa en Windows 11 25H2 USB, öppna verktyget, välj öppna befintlig eller ladda ner ISO-filen och välj det anpassade alternativet. Så här gör du här.

Bygg 26120.3964 (KB5058496) för Windows 11 lägger till en ny AI-agent i inställningarna i betakanalen.

Bygg 26120.3964 (KB5058496) för Windows 11 lägger till en ny AI-agent i inställningarna i betakanalen.

Windows 11 build 26120.3964 (KB5058496) levererar AI-agent för inställningar, lägger till filöverföringsalternativ för säkerhetskopieringsappen, Click to Do utökar åtgärder.

Uppgradera datorer som inte stöds (24H2) till Windows 11 25H2 utan ominstallation eller extra verktyg

Uppgradera datorer som inte stöds (24H2) till Windows 11 25H2 utan ominstallation eller extra verktyg

För att uppgradera från Windows 11 24H2 till version 25H2 utan ominstallation eller extra verktyg måste du installera aktiveringspaketet manuellt.

Hur man visar tiden i Notifieringscenter i Windows 11

Hur man visar tiden i Notifieringscenter i Windows 11

För att aktivera klockan i Notiscenter i Windows 11, öppna Inställningar > Tid och språk > Datum och tid och aktivera Visa tid i Notiscenter.

Hur man installerar Windows 11 utan bloatware på hårdvara som inte stöds

Hur man installerar Windows 11 utan bloatware på hårdvara som inte stöds

För att installera Windows 11 utan bloatware med ett lokalt konto på hårdvara som inte stöds, integrera en autounattend.xml-fil i en startbar USB-enhet.

Googles nya läcka av Aluminium OS antyder en direkt rival för Windows 11

Googles nya läcka av Aluminium OS antyder en direkt rival för Windows 11

Googles läcka av Aluminium OS avslöjar Androids fullständiga skrivbordsgränssnitt, multitasking, Chrome-tillägg och AI, en potentiell rival till Windows 11.

Microsoft stoppar aggressiv AI-satsning på Windows 11 – Copilot skalas ner, återkallelse granskas

Microsoft stoppar aggressiv AI-satsning på Windows 11 – Copilot skalas ner, återkallelse granskas

Microsoft minskar enligt uppgift Copilot på Windows 11-appar efter användarnas motreaktioner, pausar nya AI-funktioner och granskar befintliga integrationer.

Så här aktiverar du viloläge i Windows 11

Så här aktiverar du viloläge i Windows 11

För att aktivera viloläge i Windows 11, kör kommandot powercfg /hibernate on och aktivera Hibernate för Start i Kontrollpanelen/Energialternativ.

Windows 11 har äntligen ett ordentligt alternativ till Aktivitetshanteraren – möt AppControl

Windows 11 har äntligen ett ordentligt alternativ till Aktivitetshanteraren – möt AppControl

AppControl ger 3-dagars systemhistorik, spårning av appstarter och varningar till Windows 11. Är det bättre än Aktivitetshanteraren? Här är den fullständiga sammanfattningen.