Як перевірити, чи має ваш ПК оновлені сертифікати Secure Boot у Windows 11, 10

• Термін дії сертифікатів Secure Boot від Microsoft 2011 року закінчується в червні 2026 року.
• Нові сертифікати Windows UEFI CA 2023 подовжують захист до версії 2053.
• Пристрої, придбані у 2024 році або пізніше, зазвичай вже містять оновлені сертифікати.
• Старіші ПК отримують оновлення поступово через службу Windows Update.
• Ви можете перевірити стан сертифіката за допомогою команди PowerShell.

На деяких пристроях Windows 11 та Windows 10 термін дії сертифікатів Secure Boot, вперше виданих у 2011 році, заплановано на червень 2026 року. Хоча Microsoft активно замінює їх сертифікатами 2023 року, вам слід перевірити, чи ваша система вже перейшла на новіші сертифікати, щоб запобігти збоям у запуску або безпеці.

Безпечне завантаження (Secure Boot) – це функція захисту на основі мікропрограми в Unified Extensible Firmware Interface (UEFI), яка гарантує, що пристрій завантажує лише програмне забезпечення з цифровим підписом та довірою виробника. Вона захищає процес запуску, запобігаючи несанкціонованим змінам критично важливих компонентів завантаження до завантаження операційної системи.

Для досягнення цієї мети Secure Boot використовує криптографічні ключі, відомі як центри сертифікації (CA), для перевірки модулів прошивки та завантажувачів. Ці сертифікати створюють ланцюжок довіри, який блокує запуск шкідливого коду під час раннього запуску.

Як і всі цифрові сертифікати, центри сертифікації безпечного завантаження (Secure Boot CA) мають визначені терміни дії. Термін дії сертифікатів 2011 року закінчується в червні 2026 року, що означає, що на системах мають бути встановлені новіші сертифікати 2023 року, щоб продовжувати отримувати оновлення та завантажуватися нормально без збоїв перевірки довіри.

Оскільки цифрові сертифікати мають терміни дії, системи повинні встановити сертифікати 2023 року до закінчення терміну дії ЦС 2011 року у червні 2026 року, щоб продовжувати завантаження та отримувати оновлення належним чином.

Пристрої, придбані у 2024 році або пізніше, зазвичай вже містять нові сертифікати. Для старішого обладнання Microsoft розповсюджує їх через Windows Update.

Microsoft вже ідентифікує та автоматично оновлює сертифікати Secure Boot за допомогою регулярних оновлень системи, тому не потрібно вживати жодних ручних заходів, окрім увімкнення Windows Update та встановлення щомісячних оновлень безпеки до крайнього терміну в червні 2026 року. Однак завжди варто перевірити та зрозуміти, чи має ваш пристрій відповідні сертифікати.

У цьому посібнику я опишу кроки для перевірки того, чи сертифікати Secure Boot 2023 вже встановлені на вашому комп’ютері.

• Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою PowerShell
• Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою служби безпеки Windows

Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою PowerShell

Щоб перевірити, чи у вас є «оновлені» сертифікати Secure Boot 2023 року (які замінюють ті, термін дії яких закінчується у 2026 році), виконайте такі дії:

1. Відкрийте меню «Пуск» у Windows 11.

    

    

2. Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора».

3. Введіть цю команду, щоб перевірити термін дії сертифікатів Secure Boot, і натисніть Enter: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

   

Після виконання цих кроків, якщо результат має значення «True» (Істина), у вас є новий сертифікат (дійсний до 2053 року). Якщо результат має значення «False» (Хибність), ймовірно, ви все ще використовуєте сертифікат 2011 року (термін дії якого закінчується у 2026 році).

Термін дії сертифікатів Secure Boot 2011 закінчується у 2026 році – що робить кожен сертифікат

Майже всі сучасні ланцюжки Secure Boot покладаються на сертифікати Microsoft 2011 року, термін дії яких такі :

• Корпорація Microsoft KEK CA 2011 (24 червня 2026 р.). 
• Сертифікат сертифікації UEFI 2011 корпорації Microsoft (27 червня 2026 р.).
• Огляд UEFI CA 2011 для Microsoft Option ROM (27 червня 2026 р.).
• Виробнича конференція Microsoft Windows PCA 2011 (19 жовтня 2026 р.).

Для довідки, ось що робить кожен сертифікат:

• Сертифікат KEK: Довірчий анкер, який дозволяє оновлювати бази даних сигнатур Secure Boot (DB/DBX).
• Сертифікати UEFI CA: Довіряйте підписам завантажувачів та компонентів прошивки (включно з сторонніми програмами EFI).
• Додатковий ПЗП CA: Довіряє модулям ПЗП додаткових мікропрограм.
• Microsoft Windows Production PCA 2011: Забезпечує довіру прошивки до завантажувача Windows та пов'язаних з ним бінарних файлів у режимі Secure Boot.

Якщо термін дії ваших сертифікатів наближається до кінця, Microsoft та виробник вашого комп’ютера (OEM) автоматично надсилатимуть оновлення мікропрограми або оновлення «DBX» через Windows Update або оновлення системи для реєстрації нових сертифікатів CA 2023. Ви завжди можете вручну встановити нові сертифікати Secure Boot .

Чому подія з ідентифікатором 1801 відображається в засобі перегляду подій (і чому це не помилка)

Зрештою, ви, ймовірно, помітите, що для джерела «TPM-WMI (Microsoft-Windows-TPM-WMI)» відображається подія з ідентифікатором 1801 із повідомленням «BucketConfidenceLevel: під спостереженням – потрібні додаткові дані» .

Хоча це виглядає як помилка, це не збій. Цей запис означає, що операційна система виявила оновлені сертифікати Secure Boot, але ще не застосувала їх до прошивки.

Пристрій перебуває на етапі тестування та перевірки, поки Microsoft поступово розгортає оновлення. Оскільки ключі Secure Boot містяться в прошивці UEFI та впливають на ланцюжок завантаження, перехід ретельно скоординовано, щоб уникнути проблем із завантаженням.

Простіше кажучи, подія з ідентифікатором 1801 – це просто перевірка стану, яка вказує на те, що Windows оцінює ваш пристрій у рамках розгортання сертифіката Secure Boot. Повідомлення «Під спостереженням» відображає цей процес оцінювання. Воно не вказує на проблему TPM, пошкодження Secure Boot або збій BIOS. Незважаючи на те, що вона реєструється як помилка, вона має суто інформаційний характер.

Перехід сертифіката Secure Boot відбувається у два етапи. Спочатку Windows 11 (або 10) завантажує та розміщує новий сертифікат в операційній системі. Пізніше, після перевірки сумісності та підтвердження, сертифікат записується в прошивку системи та активується.

Пристрої можуть залишатися між цими двома стадіями протягом певного періоду часу, тому записи TPM-WMI можуть продовжувати відображатися в засобі перегляду подій, навіть якщо все гаразд.

Перевірте, чи має ваш ПК сертифікати Secure Boot 2023 за допомогою служби безпеки Windows

Окрім використання PowerShell, програму «Безпека Windows» було оновлено , щоб відображати точний стан сертифікатів Secure Boot, термін дії яких закінчується у 2026 році. 

Щоб перевірити, чи має ваш комп’ютер найновіші сертифікати Secure Boot, виконайте такі дії:

1. Відкрийте Пуск .

2. Знайдіть «Безпека Windows» і натисніть перший результат, щоб відкрити програму.

3. Натисніть на Безпека пристрою на лівій панелі.

4. Підтвердьте колір і повідомлення значка Secure Boot.

5. (Варіант 1) Зелений колір означає, що система повністю оновлена ​​з останніми сертифікатами та компонентами завантаження.

   

6. (Варіант 2) Жовтий колір означає, що оновлення очікує на оновлення або його доступність обмежена обмеженнями сумісності.

   

7. (Варіант 3) Червоний колір означає, що система не може застосувати необхідні оновлення та потребує втручання.

   

Після виконання цих кроків ви матимете чіткіше розуміння того, чи не потрібно нічого робити, чи потрібно продовжити ручний процес оновлення прошивки вашої системи до нової версії сертифікатів Secure Boot.

Повідомлення, яке ви побачите в програмі «Безпека Windows», пов’язане з оновленнями сертифікатів, що надходять через службу Windows Update. Система оцінює сумісність мікропрограми, перевіряє розгортання сертифікатів і повідомляє про результат у режимі реального часу.

Microsoft поступово розгортає це оновлення для програми Windows Update. Якщо ви не можете визначити стан сертифікатів, скористайтеся параметром PowerShell.

Також, починаючи з травня 2026 року, сповіщення на рівні системи відображатимуть ці стани, що підвищить видимість, коли потрібні дії.