Microsoft замінює сертифікати Secure Boot, термін дії яких закінчується, у Windows 11 – усі подробиці та як оновити свій

• Безпечне завантаження запобігає компрометації процесу запуску Windows 11 низькорівневим шкідливим програмним забезпеченням.
• Термін дії оригінальних сертифікатів Secure Boot від Microsoft 2011 року закінчується в червні 2026 року, а нові сертифікати 2023 року продовжують захист до 2053 року.
• Пристрої, придбані у 2024 році та пізніше, ймовірно, вже мають найновіші сертифікати. Інші отримують їх поступово через Windows Update.
• Ви можете перевірити стан свого сертифіката за допомогою PowerShell та вручну оновити сертифікати за допомогою налаштувань реєстру та запланованих завдань, якщо оновлення не надходять автоматично.

Термін дії сертифіката модуля безпечного завантаження вашого ПК закінчується в червні 2026 року. Починаючи з оновлення безпеки за січень 2026 року , Microsoft розпочала поступове розгортання нового сертифіката, який дозволить вашому комп’ютеру продовжувати коректно завантажуватися та отримувати оновлення безпеки.

У Windows 11 безпечне завантаження (Secure Boot) – це функція безпеки, доступна в мікропрограмі Unified Extensible Firmware Interface (UEFI), яка запобігає несанкціонованим змінам критично важливих системних файлів під час запуску. Як результат, це гарантує, що пристрій завантажується лише за допомогою програмного забезпечення, якому довіряє виробник.

Іншими словами, Secure Boot допомагає захистити ваші пристрої від низькорівневого шкідливого програмного забезпечення (такого як буткіти та руткіти), яке може заразити процес завантаження та отримати контроль над вашим комп’ютером ще до завантаження операційної системи та антивірусного програмного забезпечення.

Розуміння сертифікатів безпечного завантаження

У рамках цього процесу функція використовує криптографічні ключі (відомі як центри сертифікації (CA)) для перевірки того, що модулі прошивки походять з надійного джерела, що допомагає запобігти запуску шкідливого програмного забезпечення на ранніх етапах запуску пристрою.

Тепер сертифікати Secure Boot завжди мали терміни дії, оскільки вони допомагають забезпечити безперервне отримання оновлень безпеки та правильне завантаження вашого комп’ютера. Саме тому вам потрібно встановити сертифікати 2023 року до того, як термін дії сертифікатів CA 2011 року почне закінчуватися в червні 2026 року.

Якщо у вас пристрій, придбаний у 2024 році (або пізніше), є ймовірність, що на ньому вже встановлено найновіші сертифікати. Однак для решти комп’ютерів Microsoft зараз розгортає нові сертифікати Secure Boot через Windows Update.

У випуску «Оновлення безпеки 2026-01 (KB5074109) (26200.7623)» , випущеному 13 січня 2026 року, програмний гігант зазначив, що оновлення тепер містять підмножину високонадійних даних про цільові пристрої, які ідентифікують пристрої, що мають право на автоматичне отримання нових сертифікатів Secure Boot. Пристрої отримають нові сертифікати лише після демонстрації достатньої кількості сигналів успішного оновлення, що забезпечує безпечне та поетапне розгортання.

Це означає, що вам не потрібно виконувати жодних ручних дій для оновлення Secure Boot , окрім того, щоб дозволити системі продовжувати отримувати оновлення. Принаймні, доки не стане доступним оновлення безпеки у червні 2026 року.

Перевірте термін дії сертифіката Secure Boot

Оскільки ви не отримаєте сповіщення про те, що ваш комп’ютер тепер містить найновіші центри сертифікації, важливо перевірити, чи ваш пристрій все ще потребує оновлення.

У Windows 11 немає вбудованої команди для відображення дати закінчення терміну дії прошивки, яку може прочитати людина. Однак ви можете перевірити, чи є у вас «оновлені» сертифікати 2023 року (які замінюють ті, що закінчуються у 2026 році), виконавши такі дії:

Відкрийте PowerShell (адміністратор) та виконайте:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

• Правда: У вас є новий сертифікат (дійсний до 2053 року).
• Хибно: Ви, ймовірно, все ще користуєтеся сертифікатом 2011 року (термін дії закінчується у 2026 році).

Перевірка PowerShell терміну дії сертифіката Secure Boot / Зображення: Мауро Гуцулак

Майже всі сучасні ланцюжки Secure Boot покладаються на сертифікати Microsoft 2011 року, термін дії яких такі :

• Корпорація Microsoft KEK CA 2011 (24 червня 2026 р.). 
• Сертифікат сертифікації UEFI 2011 корпорації Microsoft (27 червня 2026 р.).
• Огляд UEFI CA 2011 для Microsoft Option ROM (27 червня 2026 р.).
• Виробнича конференція Microsoft Windows PCA 2011 (19 жовтня 2026 р.).

Для довідки, ось що робить кожен сертифікат:

• Сертифікат KEK: Довірчий анкер, який дозволяє оновлювати бази даних сигнатур Secure Boot (DB/DBX).
• Сертифікати UEFI CA: Довіряйте підписам завантажувачів та компонентів прошивки (включно з сторонніми програмами EFI).
• Додатковий ПЗП CA: Довіряє модулям ПЗП додаткових мікропрограм.
• Microsoft Windows Production PCA 2011: Забезпечує довіру прошивки до завантажувача Windows та пов'язаних з ним бінарних файлів у режимі Secure Boot.

Оновлення сертифікатів Secure Boot у Windows 11

Якщо термін дії ваших сертифікатів наближається до кінця, Microsoft та виробник вашого комп’ютера (OEM) автоматично надсилатимуть оновлення мікропрограми або оновлення «DBX» через Windows Update або оновлення системи для реєстрації нових сертифікатів CA 2023. Однак ви можете вручну оновити свій Secure Boot.

Попередження: Перш ніж продовжити, переконайтеся, що у вас збережено ключ відновлення BitLocker , а ваш BIOS (UEFI) оновлено. Якщо прошивка вашого комп’ютера не підтримує нові сертифікати, він може не завантажитися після оновлення. Також рекомендується створити повну резервну копію вашого комп’ютера, перш ніж продовжити.

Відкрийте PowerShell (адміністратор) та виконайте:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ця команда встановлює розділ реєстру, який дає інструкції операційній системі розгорнути всі необхідні сертифікати (включно з менеджером завантаження, підписаним PCA 2023).

Значенням 0x5944є код «повного пом’якшення», який увімкне всі відповідні оновлення сертифікатів.

У Windows 11 є вбудоване завдання, яке обробляє ці зміни сертифікатів, і ви можете запустити його вручну, щоб уникнути 12 годин очікування, за допомогою такої команди:

Start-ScheduledTask -НазваЗавдання "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell оновлює сертифікат Secure Boot / Зображення: Мауро Гуцулак

Зазвичай для повного застосування оновлення потрібне два перезавантаження. Після першого перезавантаження система оновлює диспетчер завантаження. Після другого завершується реєстрація сертифіката в базі даних UEFI.

Після перезавантаження ви можете перевірити, чи присутній «UEFI CA 2023» у вашій базі даних, виконавши цю команду PowerShell (від імені адміністратора):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

• Правда: Ваша система тепер захищена новими сертифікатами.
• Хибність: Якщо після кількох перезавантажень значення залишається хибним, можливо, прошивка материнської плати занадто стара, щоб прийняти новий формат сертифіката. Перевірте веб-сайт виробника на наявність оновлення BIOS, пов’язаного з «Secure Boot».

Якщо BitLocker активний, можливо, доведеться тимчасово вимкнути шифруванняSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), перш ніж мікропрограма зможе успішно записати нові ключі на пристрій.