Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

  • Термін дії сертифікатів Secure Boot від Microsoft 2011 року закінчується в червні 2026 року.
  • Нові сертифікати Windows UEFI CA 2023 подовжують захист до версії 2053.
  • Пристрої, придбані у 2024 році або пізніше, зазвичай вже містять оновлені сертифікати.
  • Старіші ПК отримують оновлення поступово через службу Windows Update.
  • Ви можете перевірити стан сертифіката за допомогою команди PowerShell.

На деяких пристроях Windows 11 та Windows 10 термін дії сертифікатів Secure Boot, вперше виданих у 2011 році, заплановано на червень 2026 року. Хоча Microsoft активно замінює їх сертифікатами 2023 року, вам слід перевірити, чи ваша система вже перейшла на новіші сертифікати, щоб запобігти збоям у запуску або безпеці.

Безпечне завантаження (Secure Boot) – це функція захисту на основі мікропрограми в Unified Extensible Firmware Interface (UEFI), яка гарантує, що пристрій завантажує лише програмне забезпечення з цифровим підписом та довірою виробника. Вона захищає процес запуску, запобігаючи несанкціонованим змінам критично важливих компонентів завантаження до завантаження операційної системи.

Для досягнення цієї мети Secure Boot використовує криптографічні ключі, відомі як центри сертифікації (CA), для перевірки модулів прошивки та завантажувачів. Ці сертифікати створюють ланцюжок довіри, який блокує запуск шкідливого коду під час раннього запуску.

Як і всі цифрові сертифікати, центри сертифікації безпечного завантаження (Secure Boot CA) мають визначені терміни дії. Термін дії сертифікатів 2011 року закінчується в червні 2026 року, що означає, що на системах мають бути встановлені новіші сертифікати 2023 року, щоб продовжувати отримувати оновлення та завантажуватися нормально без збоїв перевірки довіри.

Оскільки цифрові сертифікати мають терміни дії, системи повинні встановити сертифікати 2023 року до закінчення терміну дії ЦС 2011 року у червні 2026 року, щоб продовжувати завантаження та отримувати оновлення належним чином.

Пристрої, придбані у 2024 році або пізніше, зазвичай вже містять нові сертифікати. Для старішого обладнання Microsoft розповсюджує їх через Windows Update.

Microsoft вже ідентифікує та автоматично оновлює сертифікати Secure Boot за допомогою регулярних оновлень системи, тому не потрібно вживати жодних ручних заходів, окрім увімкнення Windows Update та встановлення щомісячних оновлень безпеки до крайнього терміну в червні 2026 року. Однак завжди варто перевірити та зрозуміти, чи має ваш пристрій відповідні сертифікати.

У цьому посібнику я опишу кроки для перевірки того, чи сертифікати Secure Boot 2023 вже встановлені на вашому комп’ютері.

Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою PowerShell

Щоб перевірити, чи у вас є «оновлені» сертифікати Secure Boot 2023 року (які замінюють ті, термін дії яких закінчується у 2026 році), виконайте такі дії:

  1. Відкрийте меню «Пуск» у Windows 11.

     

     

  2. Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора».

  3. Введіть цю команду, щоб перевірити термін дії сертифікатів Secure Boot, і натисніть Enter: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

    Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

Після виконання цих кроків, якщо результат має значення «True» (Істина), у вас є новий сертифікат (дійсний до 2053 року). Якщо результат має значення «False» (Хибність), ймовірно, ви все ще використовуєте сертифікат 2011 року (термін дії якого закінчується у 2026 році).

Термін дії сертифікатів Secure Boot 2011 закінчується у 2026 році – що робить кожен сертифікат

Майже всі сучасні ланцюжки Secure Boot покладаються на сертифікати Microsoft 2011 року, термін дії яких такі :

  • Корпорація Microsoft KEK CA 2011 (24 червня 2026 р.). 
  • Сертифікат сертифікації UEFI 2011 корпорації Microsoft (27 червня 2026 р.).
  • Огляд UEFI CA 2011 для Microsoft Option ROM (27 червня 2026 р.).
  • Виробнича конференція Microsoft Windows PCA 2011 (19 жовтня 2026 р.).

Для довідки, ось що робить кожен сертифікат:

  • Сертифікат KEK: Довірчий анкер, який дозволяє оновлювати бази даних сигнатур Secure Boot (DB/DBX).
  • Сертифікати UEFI CA: Довіряйте підписам завантажувачів та компонентів прошивки (включно з сторонніми програмами EFI).
  • Додатковий ПЗП CA: Довіряє модулям ПЗП додаткових мікропрограм.
  • Microsoft Windows Production PCA 2011: Забезпечує довіру прошивки до завантажувача Windows та пов'язаних з ним бінарних файлів у режимі Secure Boot.

Якщо термін дії ваших сертифікатів наближається до кінця, Microsoft та виробник вашого комп’ютера (OEM) автоматично надсилатимуть оновлення мікропрограми або оновлення «DBX» через Windows Update або оновлення системи для реєстрації нових сертифікатів CA 2023. Ви завжди можете вручну встановити нові сертифікати Secure Boot .

Чому подія з ідентифікатором 1801 відображається в засобі перегляду подій (і чому це не помилка)

Зрештою, ви, ймовірно, помітите, що для джерела «TPM-WMI (Microsoft-Windows-TPM-WMI)» відображається подія з ідентифікатором 1801 із повідомленням «BucketConfidenceLevel: під спостереженням – потрібні додаткові дані» .

Хоча це виглядає як помилка, це не збій. Цей запис означає, що операційна система виявила оновлені сертифікати Secure Boot, але ще не застосувала їх до прошивки.

Пристрій перебуває на етапі тестування та перевірки, поки Microsoft поступово розгортає оновлення. Оскільки ключі Secure Boot містяться в прошивці UEFI та впливають на ланцюжок завантаження, перехід ретельно скоординовано, щоб уникнути проблем із завантаженням.

Простіше кажучи, подія з ідентифікатором 1801 – це просто перевірка стану, яка вказує на те, що Windows оцінює ваш пристрій у рамках розгортання сертифіката Secure Boot. Повідомлення «Під спостереженням» відображає цей процес оцінювання. Воно не вказує на проблему TPM, пошкодження Secure Boot або збій BIOS. Незважаючи на те, що вона реєструється як помилка, вона має суто інформаційний характер.

Перехід сертифіката Secure Boot відбувається у два етапи. Спочатку Windows 11 (або 10) завантажує та розміщує новий сертифікат в операційній системі. Пізніше, після перевірки сумісності та підтвердження, сертифікат записується в прошивку системи та активується.

Пристрої можуть залишатися між цими двома стадіями протягом певного періоду часу, тому записи TPM-WMI можуть продовжувати відображатися в засобі перегляду подій, навіть якщо все гаразд.

Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою служби безпеки Windows

Окрім використання PowerShell, програму «Безпека Windows» було оновлено , щоб відображати точний стан сертифікатів Secure Boot, термін дії яких закінчується у 2026 році. 

Щоб перевірити, чи має ваш комп’ютер найновіші сертифікати Secure Boot, виконайте такі дії:

  1. Відкрийте Пуск .

  2. Знайдіть «Безпека Windows» і натисніть перший результат, щоб відкрити програму.

  3. Натисніть на Безпека пристрою на лівій панелі.

  4. Підтвердьте колір і повідомлення значка Secure Boot.

  5. (Варіант 1) Зелений колір означає, що система повністю оновлена ​​з останніми сертифікатами та компонентами завантаження.

    Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

  6. (Варіант 2) Жовтий колір означає, що оновлення очікує на оновлення або його доступність обмежена обмеженнями сумісності.

    Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

  7. (Варіант 3) Червоний колір означає, що система не може застосувати необхідні оновлення та потребує втручання.

    Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

Після виконання цих кроків ви матимете чіткіше розуміння того, чи не потрібно нічого робити, чи потрібно продовжити ручний процес оновлення прошивки вашої системи до нової версії сертифікатів Secure Boot.

Повідомлення, яке ви побачите в програмі «Безпека Windows», пов’язане з оновленнями сертифікатів, що надходять через службу Windows Update. Система оцінює сумісність мікропрограми, перевіряє розгортання сертифікатів і повідомляє про результат у режимі реального часу.

Microsoft поступово розгортає це оновлення для програми Windows Update. Якщо ви не можете визначити стан сертифікатів, скористайтеся параметром PowerShell.

Також, починаючи з травня 2026 року, сповіщення на рівні системи відображатимуть ці стани, що підвищить видимість, коли потрібні дії.

Залишити коментар

Firefox стає браузером зі штучним інтелектом, і не всі цим задоволені

Firefox стає браузером зі штучним інтелектом, і не всі цим задоволені

Mozilla підтверджує, що Firefox стане браузером зі штучним інтелектом, але негативна реакція користувачів зростає, оскільки розробники та шанувальники попереджають, що штучний інтелект може підірвати довіру та зручність використання.

Збірка 26120.4151 для Windows 11 додає розширені налаштування в бета-каналі

Збірка 26120.4151 для Windows 11 додає розширені налаштування в бета-каналі

Збірка 26120.4151 (KB5058486) для Windows 11 виходить у бета-каналі з новими додатковими налаштуваннями, штучним інтелектом для Провідника файлів та візуальними змінами.

Збірка 26200.5651 (KB5060818) для Windows 11 додає годинник до сповіщень, експорту відкликань тощо (розробник)

Збірка 26200.5651 (KB5060818) для Windows 11 додає годинник до сповіщень, експорту відкликань тощо (розробник)

Пакет KB5058512 (збірка 26200.5622) для Windows 11 вилучено зі змінами штучного інтелекту, експортом відтворення, секундною шкалою годинника та налаштуваннями провідника файлів у каналі розробників.

Як швидко знайти пароль від Wi-Fi у Windows 10

Як швидко знайти пароль від Wi-Fi у Windows 10

Щоб знайти пароль Wi-Fi у Windows 10, відкрийте «Мережеві підключення» в Панелі керування та «Властивості бездротового зв’язку» та поставте галочку напроти пункту «Відображати символи».

4 альтернативи Firefox без функцій штучного інтелекту для Windows 11

4 альтернативи Firefox без функцій штучного інтелекту для Windows 11

Хочете уникнути штучного інтелекту у своєму браузері? Ось чотири альтернативи Firefox для Windows 11, які зосереджені на конфіденційності, швидкості та повному контролі користувача.

Продовжуйте використовувати Windows 10 після закінчення підтримки у 2025 році

Продовжуйте використовувати Windows 10 після закінчення підтримки у 2025 році

Підтримка Windows 10 закінчується 14 жовтня 2025 року, і ось як продовжувати безпечно використовувати її за допомогою програми ESU.

Фінальний пакет активації Windows 11 25H2 та прямі посилання для завантаження ISO-образу для x64 та ARM64

Фінальний пакет активації Windows 11 25H2 та прямі посилання для завантаження ISO-образу для x64 та ARM64

Фінальний ISO-образ Windows 11 25H2 та пакет активації доступні раніше на серверах Microsoft, включаючи завантаження ARM64 та x64, що дозволяє легко перейти з 24H2.

Як завантажити ISO-файл Windows 11 25H2

Як завантажити ISO-файл Windows 11 25H2

Щоб завантажити ISO-образ Windows 11 25H2 для доступу до нових функцій і змін, скористайтеся службою підтримки Microsoft, Insider, UUP Dump або прямими посиланнями.

Як увімкнути автоматичне резервне копіювання реєстру у Windows 11, 10

Як увімкнути автоматичне резервне копіювання реєстру у Windows 11, 10

Щоб увімкнути автоматичне резервне копіювання реєстру у Windows 11 (або 10), створіть параметр EnablePeriodicBackup DWORD, встановіть для нього значення 1 та запустіть завдання RegIdleBackup.

Відкликання Windows 11 нарешті запускається для ПК Copilot+ з оновленням травня 2025 року

Відкликання Windows 11 нарешті запускається для ПК Copilot+ з оновленням травня 2025 року

Також доступні випуски Windows Recall для ПК Copilot+ з оновленням Windows 11 від травня 2025 року, а також Click to Do та Semantic Indexing.