Microsoft замінює сертифікати Secure Boot, термін дії яких закінчується, у Windows 11 – усі подробиці та як оновити свій

  • Безпечне завантаження запобігає компрометації процесу запуску Windows 11 низькорівневим шкідливим програмним забезпеченням.
  • Термін дії оригінальних сертифікатів Secure Boot від Microsoft 2011 року закінчується в червні 2026 року, а нові сертифікати 2023 року продовжують захист до 2053 року.
  • Пристрої, придбані у 2024 році та пізніше, ймовірно, вже мають найновіші сертифікати. Інші отримують їх поступово через Windows Update.
  • Ви можете перевірити стан свого сертифіката за допомогою PowerShell та вручну оновити сертифікати за допомогою налаштувань реєстру та запланованих завдань, якщо оновлення не надходять автоматично.

Термін дії сертифіката модуля безпечного завантаження вашого ПК закінчується в червні 2026 року. Починаючи з оновлення безпеки за січень 2026 року , Microsoft розпочала поступове розгортання нового сертифіката, який дозволить вашому комп’ютеру продовжувати коректно завантажуватися та отримувати оновлення безпеки.

У Windows 11 безпечне завантаження (Secure Boot) – це функція безпеки, доступна в мікропрограмі Unified Extensible Firmware Interface (UEFI), яка запобігає несанкціонованим змінам критично важливих системних файлів під час запуску. Як результат, це гарантує, що пристрій завантажується лише за допомогою програмного забезпечення, якому довіряє виробник.

Іншими словами, Secure Boot допомагає захистити ваші пристрої від низькорівневого шкідливого програмного забезпечення (такого як буткіти та руткіти), яке може заразити процес завантаження та отримати контроль над вашим комп’ютером ще до завантаження операційної системи та антивірусного програмного забезпечення.

 

Розуміння сертифікатів безпечного завантаження

У рамках цього процесу функція використовує криптографічні ключі (відомі як центри сертифікації (CA)) для перевірки того, що модулі прошивки походять з надійного джерела, що допомагає запобігти запуску шкідливого програмного забезпечення на ранніх етапах запуску пристрою.

Тепер сертифікати Secure Boot завжди мали терміни дії, оскільки вони допомагають забезпечити безперервне отримання оновлень безпеки та правильне завантаження вашого комп’ютера. Саме тому вам потрібно встановити сертифікати 2023 року до того, як термін дії сертифікатів CA 2011 року почне закінчуватися в червні 2026 року.

Якщо у вас пристрій, придбаний у 2024 році (або пізніше), є ймовірність, що на ньому вже встановлено найновіші сертифікати. Однак для решти комп’ютерів Microsoft зараз розгортає нові сертифікати Secure Boot через Windows Update.

У випуску «Оновлення безпеки 2026-01 (KB5074109) (26200.7623)» , випущеному 13 січня 2026 року, програмний гігант зазначив, що оновлення тепер містять підмножину високонадійних даних про цільові пристрої, які ідентифікують пристрої, що мають право на автоматичне отримання нових сертифікатів Secure Boot. Пристрої отримають нові сертифікати лише після демонстрації достатньої кількості сигналів успішного оновлення, що забезпечує безпечне та поетапне розгортання.

Це означає, що вам не потрібно виконувати жодних ручних дій для оновлення Secure Boot , окрім того, щоб дозволити системі продовжувати отримувати оновлення. Принаймні, доки не стане доступним оновлення безпеки у червні 2026 року.

Перевірте термін дії сертифіката Secure Boot

Оскільки ви не отримаєте сповіщення про те, що ваш комп’ютер тепер містить найновіші центри сертифікації, важливо перевірити, чи ваш пристрій все ще потребує оновлення.

У Windows 11 немає вбудованої команди для відображення дати закінчення терміну дії прошивки, яку може прочитати людина. Однак ви можете перевірити, чи є у вас «оновлені» сертифікати 2023 року (які замінюють ті, що закінчуються у 2026 році), виконавши такі дії:

Відкрийте PowerShell (адміністратор) та виконайте:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

  • Правда: У вас є новий сертифікат (дійсний до 2053 року).
  • Хибно: Ви, ймовірно, все ще користуєтеся сертифікатом 2011 року (термін дії закінчується у 2026 році).

Microsoft замінює сертифікати Secure Boot, термін дії яких закінчується, у Windows 11 – усі подробиці та як оновити свій

Перевірка PowerShell терміну дії сертифіката Secure Boot / Зображення: Мауро Гуцулак

Майже всі сучасні ланцюжки Secure Boot покладаються на сертифікати Microsoft 2011 року, термін дії яких такі :

  • Корпорація Microsoft KEK CA 2011 (24 червня 2026 р.). 
  • Сертифікат сертифікації UEFI 2011 корпорації Microsoft (27 червня 2026 р.).
  • Огляд UEFI CA 2011 для Microsoft Option ROM (27 червня 2026 р.).
  • Виробнича конференція Microsoft Windows PCA 2011 (19 жовтня 2026 р.).

Для довідки, ось що робить кожен сертифікат:

  • Сертифікат KEK: Довірчий анкер, який дозволяє оновлювати бази даних сигнатур Secure Boot (DB/DBX).
  • Сертифікати UEFI CA: Довіряйте підписам завантажувачів та компонентів прошивки (включно з сторонніми програмами EFI).
  • Додатковий ПЗП CA: Довіряє модулям ПЗП додаткових мікропрограм.
  • Microsoft Windows Production PCA 2011: Забезпечує довіру прошивки до завантажувача Windows та пов'язаних з ним бінарних файлів у режимі Secure Boot.

Оновлення сертифікатів Secure Boot у Windows 11

Якщо термін дії ваших сертифікатів наближається до кінця, Microsoft та виробник вашого комп’ютера (OEM) автоматично надсилатимуть оновлення мікропрограми або оновлення «DBX» через Windows Update або оновлення системи для реєстрації нових сертифікатів CA 2023. Однак ви можете вручну оновити свій Secure Boot.

Попередження: Перш ніж продовжити, переконайтеся, що у вас збережено ключ відновлення BitLocker , а ваш BIOS (UEFI) оновлено. Якщо прошивка вашого комп’ютера не підтримує нові сертифікати, він може не завантажитися після оновлення. Також рекомендується створити повну резервну копію вашого комп’ютера, перш ніж продовжити.

Відкрийте PowerShell (адміністратор) та виконайте:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ця команда встановлює розділ реєстру, який дає інструкції операційній системі розгорнути всі необхідні сертифікати (включно з менеджером завантаження, підписаним PCA 2023).

Значенням 0x5944є код «повного пом’якшення», який увімкне всі відповідні оновлення сертифікатів.

У Windows 11 є вбудоване завдання, яке обробляє ці зміни сертифікатів, і ви можете запустити його вручну, щоб уникнути 12 годин очікування, за допомогою такої команди:

Start-ScheduledTask -НазваЗавдання "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft замінює сертифікати Secure Boot, термін дії яких закінчується, у Windows 11 – усі подробиці та як оновити свій

PowerShell оновлює сертифікат Secure Boot / Зображення: Мауро Гуцулак

Зазвичай для повного застосування оновлення потрібне два перезавантаження. Після першого перезавантаження система оновлює диспетчер завантаження. Після другого завершується реєстрація сертифіката в базі даних UEFI.

Після перезавантаження ви можете перевірити, чи присутній «UEFI CA 2023» у вашій базі даних, виконавши цю команду PowerShell (від імені адміністратора):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'

  • Правда: Ваша система тепер захищена новими сертифікатами.
  • Хибність: Якщо після кількох перезавантажень значення залишається хибним, можливо, прошивка материнської плати занадто стара, щоб прийняти новий формат сертифіката. Перевірте веб-сайт виробника на наявність оновлення BIOS, пов’язаного з «Secure Boot».

Якщо BitLocker активний, можливо, доведеться тимчасово вимкнути шифруванняSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), перш ніж мікропрограма зможе успішно записати нові ключі на пристрій.

Залишити коментар

Firefox стає браузером зі штучним інтелектом, і не всі цим задоволені

Firefox стає браузером зі штучним інтелектом, і не всі цим задоволені

Mozilla підтверджує, що Firefox стане браузером зі штучним інтелектом, але негативна реакція користувачів зростає, оскільки розробники та шанувальники попереджають, що штучний інтелект може підірвати довіру та зручність використання.

Збірка 26120.4151 для Windows 11 додає розширені налаштування в бета-каналі

Збірка 26120.4151 для Windows 11 додає розширені налаштування в бета-каналі

Збірка 26120.4151 (KB5058486) для Windows 11 виходить у бета-каналі з новими додатковими налаштуваннями, штучним інтелектом для Провідника файлів та візуальними змінами.

Збірка 26200.5651 (KB5060818) для Windows 11 додає годинник до сповіщень, експорту відкликань тощо (розробник)

Збірка 26200.5651 (KB5060818) для Windows 11 додає годинник до сповіщень, експорту відкликань тощо (розробник)

Пакет KB5058512 (збірка 26200.5622) для Windows 11 вилучено зі змінами штучного інтелекту, експортом відтворення, секундною шкалою годинника та налаштуваннями провідника файлів у каналі розробників.

Як швидко знайти пароль від Wi-Fi у Windows 10

Як швидко знайти пароль від Wi-Fi у Windows 10

Щоб знайти пароль Wi-Fi у Windows 10, відкрийте «Мережеві підключення» в Панелі керування та «Властивості бездротового зв’язку» та поставте галочку напроти пункту «Відображати символи».

4 альтернативи Firefox без функцій штучного інтелекту для Windows 11

4 альтернативи Firefox без функцій штучного інтелекту для Windows 11

Хочете уникнути штучного інтелекту у своєму браузері? Ось чотири альтернативи Firefox для Windows 11, які зосереджені на конфіденційності, швидкості та повному контролі користувача.

Продовжуйте використовувати Windows 10 після закінчення підтримки у 2025 році

Продовжуйте використовувати Windows 10 після закінчення підтримки у 2025 році

Підтримка Windows 10 закінчується 14 жовтня 2025 року, і ось як продовжувати безпечно використовувати її за допомогою програми ESU.

Фінальний пакет активації Windows 11 25H2 та прямі посилання для завантаження ISO-образу для x64 та ARM64

Фінальний пакет активації Windows 11 25H2 та прямі посилання для завантаження ISO-образу для x64 та ARM64

Фінальний ISO-образ Windows 11 25H2 та пакет активації доступні раніше на серверах Microsoft, включаючи завантаження ARM64 та x64, що дозволяє легко перейти з 24H2.

Як завантажити ISO-файл Windows 11 25H2

Як завантажити ISO-файл Windows 11 25H2

Щоб завантажити ISO-образ Windows 11 25H2 для доступу до нових функцій і змін, скористайтеся службою підтримки Microsoft, Insider, UUP Dump або прямими посиланнями.

Як увімкнути автоматичне резервне копіювання реєстру у Windows 11, 10

Як увімкнути автоматичне резервне копіювання реєстру у Windows 11, 10

Щоб увімкнути автоматичне резервне копіювання реєстру у Windows 11 (або 10), створіть параметр EnablePeriodicBackup DWORD, встановіть для нього значення 1 та запустіть завдання RegIdleBackup.

Відкликання Windows 11 нарешті запускається для ПК Copilot+ з оновленням травня 2025 року

Відкликання Windows 11 нарешті запускається для ПК Copilot+ з оновленням травня 2025 року

Також доступні випуски Windows Recall для ПК Copilot+ з оновленням Windows 11 від травня 2025 року, а також Click to Do та Semantic Indexing.