Microsoft пояснює ризики безпеки, повязані з сертифікатами Secure Boot, термін дії яких закінчується у 2026 році у Windows 11.

• Термін дії сертифікатів Secure Boot, запроваджених у 2011 році, закінчується наприкінці червня 2026 року.
• Комп’ютери продовжуватимуть завантажуватися нормально після закінчення терміну дії.
• Пристрої без оновлених сертифікатів переходять у стан погіршеної безпеки.
• Підтримувані пристрої з Windows 11 та Windows 10 отримують оновлення автоматично через службу Windows Update.
• Непідтримувані системи, зокрема Windows 10 після жовтня 2025 року без ESU, не отримають нових сертифікатів.

Microsoft підтвердила , що пристрої з оригінальними сертифікатами Secure Boot, запровадженими у 2011 році, почнуть припинятися наприкінці червня 2026 року, що призведе до значного оновлення безпеки, яке вплине майже на кожен сучасний комп’ютер.

Безпечне завантаження (Secure Boot) – це механізм безпеки, доступний у мікропрограмі Unified Extensible Firmware Interface (UEFI), який запускається під час запуску, до завантаження операційної системи. Мета цієї функції – перевірити, чи може під час запуску виконуватися лише довірений код із цифровим підписом, блокуючи буткіти та інші низькорівневі загрози, які намагаються скомпрометувати систему під час завантаження. Протягом останніх 15 років цей процес спирався на сертифікати, вбудовані в мікропрограму пристрою, але ці сертифікати зараз добігають кінця свого запланованого життєвого циклу.

Чи перестане працювати ваш комп'ютер у 2026 році?

Коротка відповідь – ні. Коли термін дії оригінальних сертифікатів закінчиться, комп’ютери продовжуватимуть завантажуватися, а Windows 11 (або 10) продовжуватиме завантажуватися нормально. Програми не будуть раптово виходити з ладу, і ви не побачите негайного збою.

Однак системи, які не отримають оновлені сертифікати Secure Boot, перейдуть у стан погіршення безпеки. Однак це не означає, що комп’ютер одразу стане небезпечним. Це просто означає, що пристрій більше не зможе приймати майбутні оновлення ланцюжка довіри Secure Boot.

З часом, коли виявляються нові вразливості на рівні завантаження, ці системи можуть бути не в змозі встановлювати нові засоби захисту. Машина продовжує працювати, але її захист під час запуску більше не розвивається, і це довгострокове обмеження є справжньою проблемою.

Чому Microsoft замінює сертифікати Secure Boot

Сертифікати безпеки не призначені для вічності. З розвитком стандартів безпеки ключі шифрування та довірчі якорі необхідно оновлювати, щоб запобігти перетворенню застарілих облікових даних на вразливості. Закінчення терміну дії сертифікатів Secure Boot 2011 року було заплановано з самого початку.

Значним цей перехід робить масштаб. Безпечне завантаження працює на рівні прошивки, а не лише в самій операційній системі. Його оновлення вимагає координації між службою обслуговування Windows 11 (і 10), прошивкою пристроїв та виробниками обладнання для мільйонів унікальних конфігурацій пристроїв по всьому світу.

Microsoft описує це як одну з найбільших скоординованих акцій з обслуговування безпеки в екосистемі Windows.

Як доставляється оновлення

Програмний гігант вже почав розгортати нові сертифікати Secure Boot через регулярні щомісячні оновлення для підтримуваних версій, включаючи Windows 11 та 10. Для більшості домашніх користувачів та підприємств, які дозволяють компанії керувати оновленнями, оновлення повинні відбуватися автоматично у фоновому режимі.

У деяких випадках, особливо на старішому обладнанні, перед успішним застосуванням нових сертифікатів може знадобитися оновлення прошивки від виробника пристрою. Microsoft стверджує, що тісно співпрацювала з основними виробниками комп’ютерів (такими як Dell, HP та Lenovo) для підготовки пристроїв до переходу.

Майже всі пристрої, виготовлені з 2024 року, вже містять оновлені сертифікати, і майже всі системи, що постачаються у 2025 році, оснащені ними «з коробки».

А як щодо непідтримуваних версій Windows?

Пристрої з непідтримуваними версіями операційної системи не отримають нових сертифікатів Secure Boot через Windows Update. Це стосується також Windows 10 після завершення підтримки в жовтні 2025 року, якщо пристрій не зареєстровано в розширених оновленнях безпеки .

Ці системи продовжуватимуть функціонувати після закінчення терміну дії сертифікатів 2011 року, але їхня здатність отримувати майбутні покращення безпеки на рівні завантаження залишатиметься назавжди обмеженою. З розвитком платформи це може поступово збільшувати вразливість до нових загроз і проблем сумісності з новішими прошивками, обладнанням або випусками Windows.

Що тобі слід робити зараз?

Для більшості людей найбезпечніший спосіб дій — це просто: пам’ятайте про те, що Windows 11 (і 10) потрібно повністю оновлювати , а також переконатися, що прошивка вашого пристрою актуальна, перевіряючи сторінку підтримки виробника. Microsoft зазначила, що додаткова інформація про стан оновлень сертифікатів з’явиться в програмі «Безпека Windows» найближчими місяцями, що забезпечить кращу прозорість процесу.

Ви завжди можете перевірити та оновити сертифікат Secure Boot вручну, використовуючи ці інструкції.

Організаціям, які керують великою кількістю комп’ютерів, слід розглядати це як перевірку та планування розгортання, а не як просте оновлення у вівторок.