Як встановити сертифікати Secure Boot 2023 у Windows 11 (і 10) до закінчення терміну дії у 2026 році

• Термін дії сертифікатів безпечного завантаження Windows 11 (і 10) з 2011 року закінчується в червні 2026 року.
• ПК, виготовлені у 2024 році та пізніше, зазвичай мають сертифікати 2023 року. Старіші системи можуть потребувати ручного оновлення.
• Ці інструкції допоможуть вам перевірити деталі сертифіката та вручну встановити сертифікати 2023 року.

У Windows 11 та Windows 10 Microsoft поступово перевіряє та оновлює сертифікати Secure Boot за допомогою стандартних оновлень системи. У більшості випадків вам потрібно лише стежити за щомісячними оновленнями безпеки , щоб ваш пристрій був готовий до крайнього терміну в червні 2026 року.

Однак, якщо ви хочете самостійно перевірити або застосувати новіші сертифікати Secure Boot 2023, ви можете виконати процес вручну. Цей посібник проведе вас через кроки.

Безпечне завантаження (Secure Boot) – це функція безпеки на рівні мікропрограми, вбудована в Unified Extensible Firmware Interface (UEFI). Вона гарантує, що пристрій запускається лише з програмним забезпеченням, підписаним цифровим способом та довіреним затвердженими центрами сертифікації. Перевіряючи завантажувачі та компоненти мікропрограми перед завантаженням операційної системи, Безпечне завантаження допомагає запобігти компрометації процесу запуску руткітами та іншим низькорівневим шкідливим програмним забезпеченням.

Для забезпечення цього захисту Secure Boot використовує криптографічні ключі, відомі як центри сертифікації (CA). Ці ключі встановлюють ланцюжок довіри між прошивкою та операційною системою, блокуючи непідписаний або підроблений код під час раннього завантаження.

Як і всі цифрові сертифікати, центри сертифікації Secure Boot мають терміни дії. Термін дії оригінальних сертифікатів 2011 року закінчується в червні 2026 року. Щоб уникнути помилок перевірки довіри, проблем із завантаженням або потенційних перебоїв в отриманні майбутніх оновлень, на системах необхідно встановити оновлені сертифікати 2023 року.

Комп’ютери, виготовлені у 2024 році або пізніше, зазвичай постачаються з уже встановленими сертифікатами 2023 року. Для старішого обладнання Microsoft надає оновлені сертифікати через службу Windows Update у рамках постійного обслуговування безпеки, але ви також можете встановити та замінити нові сертифікати вручну.

У цьому посібнику я опишу прості кроки для перевірки та оновлення сертифікатів Secure Boot вручну на вашому пристрої з Windows 11.

Важливо: Хоча це неруйнівний процес, все ж рекомендується зробити повну резервну копію вашого комп’ютера, перш ніж продовжити. Вас попередили.

Встановлення сертифікатів Secure Boot 2023 у Windows 11

Якщо BitLocker активовано, необхідно тимчасово вимкнути шифрування в PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), перш ніж прошивка зможе успішно записати нові ключі на пристрій. Також, перш ніж продовжити, переконайтеся, що ваш комп’ютер повністю оновлено до оновлення безпеки за лютий 2026 року (KB5077181) або пізнішої версії.

Щоб оновити сертифікати Secure Boot до закінчення терміну дії у 2026 році, виконайте такі дії:

1. Відкрийте Пуск .

    

    

2. Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора» .

3. Введіть цю команду, щоб підтвердити, що пристрій використовує UEFI з увімкненим Secure Boot, і введіть :

   Підтвердження SecureBootUEFI

   Коротке зауваження: якщо результат має значення «True», ви можете продовжити виконання наведених нижче кроків. В іншому випадку вам доведеться ввімкнути безпечне завантаження . Якщо ви користуєтеся Windows 10, вам, можливо, навіть доведеться перейти зі старої версії BIOS на UEFI .

4. Введіть цю команду, щоб перевірити термін дії сертифікатів Secure Boot, і натисніть Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

   

5. (Вивід 1) Якщо вихід має значення «Істина», у вас є новий сертифікат (дійсний до 2053 року). Зупиніться та не продовжуйте.

6. (Вивід 2) Якщо вихід має значення «Хибність», ймовірно, ви все ще використовуєте сертифікат 2011 року (термін дії закінчується у 2026 році). Продовжуйте виконання наведених нижче кроків.

7. Введіть цю команду, щоб встановити розділ реєстру для розгортання всіх необхідних сертифікатів, і натисніть Enter : 

   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. Введіть цю команду, щоб вручну ініціювати зміни сертифіката, і натисніть Enter :

   Start-ScheduledTask -НазваЗавдання "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Перезавантажте комп'ютер один раз.

10. Перезавантажте пристрій вдруге та продовжте процес перевірки сертифікатів.

    Коротке зауваження: для повного застосування оновлення зазвичай потрібне два перезавантаження. Після першого перезавантаження система оновлює диспетчер завантаження. Після другого завершується реєстрація сертифіката в базі даних UEFI.

11. Відкрийте Пуск .

12. Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора».

13. Введіть цю команду, щоб перевірити, чи оновлення успішно завершилося, і натисніть Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

Якщо після виконання цих кроків результат має значення «True» («Істина») , нові сертифікати (дійсні до 2053 року) успішно встановлено на ваш комп’ютер. Якщо результат має значення «False» (Хибність), сертифікати не було встановлено належним чином.

Важливо зазначити, що значення «True» підтверджує реєстрацію центру сертифікації 2023 року, але не видаляє сертифікат 2011 року негайно у всіх випадках. Деякі системи можуть тимчасово відображати обидва варіанти.

Якщо після завершення процесу вивід залишається «Хибність», перевірте Переглядач подій > Журнали програм і служб > Microsoft > Windows > SecureBoot-Update на наявність помилок. Також підтвердьте існування заплановане завдання, виконавши Get-ScheduledTask -TaskName "Secure-Boot-Update"команду.

Після оновлення, якщо вам довелося вимкнути BitLocker, ви можете відновити шифрування, виконавши команду Resume-BitLocker -MountPoint "C:", навіть якщо -RebootCount 2воно автоматично відновлюється після двох перезавантажень.

Варто зазначити, що сертифікати Secure Boot 2023 року не з’являються з повітря. Microsoft включає нові сертифікати до оновлень обслуговування Windows, зазвичай як частину накопичувального оновлення або оновлення безпеки для Windows 11 та підтримуваних пристроїв Windows 10. 

Власне, компанія додає нові сертифікати Secure Boot з моменту випуску оновлення безпеки за лютий 2026 року (і пізніших версій).

Ці сертифікати, відомі як Windows UEFI CA 2023, мають цифровий підпис від Microsoft і є надійними за допомогою Secure Boot.

Якщо сертифікати вже є на вашому комп’ютері, ці інструкції допоможуть вам застосувати їх негайно, не чекаючи, поки система автоматично обробить оновлення.