Microsoft har varnat för att de ursprungliga Secure Boot-certifikaten, som introducerades 2011, kommer att löpa ut i juni och oktober 2026, vilket potentiellt kan lämna vissa PC:er i ett försämrat säkerhetstillstånd. Företaget rullar ut uppdateringar via Windows Update för stödda system för att installera nya certifikat och upprätthålla skydd på boot-nivå. Användare av Windows 11 och anmälda Windows 10-enheter bör kontrollera dessa uppdateringar snart.
Secure Boot, en funktion som introducerades med Windows 8 för att verifiera PC:ers bootloaders och förhindra overificerad programvara från att laddas vid uppstart, har byggt på certifikat från 2011. Dessa certifikat kommer att löpa ut i juni och oktober 2026, som framhålls i ett nyligt Microsoft-blogginlägg av Nuno Costa, programchef i Windows Servicing and Delivery-avdelningen. Utan de nya certifikaten kommer påverkade enheter att fortsätta fungera normalt med befintlig programvara, men de kommer att hamna i ett försämrat säkerhetstillstånd. Detta begränsar deras förmåga att ta emot framtida boot-nivåsskydd mot nyligen upptäckta sårbarheter. Med tiden kan sådana system stöta på kompatibilitetsproblem med nyare operativsystem, firmware, hårdvara eller Secure Boot-beroende programvara som förlitar sig på uppdaterade certifikat från 2023-eran. «Om en enhet inte får de nya Secure Boot-certifikaten innan 2011-certifikaten löper ut, kommer PC:n att fortsätta fungera normalt och befintlig programvara kommer att fortsätta köras», skrev Costa. Han tillade att uppdateringen representerar «en generationsuppdatering av den förtroendegrund som moderna PC:er bygger på vid uppstart». Microsoft tillhandahåller de nya certifikaten via Windows Update för stödda versioner: Windows 11 (version 24H2 eller 25H2) och Windows 10-enheter som är anmälda till Extended Security Updates (ESU)-programmet. Os stödda Windows-versioner får dem inte. Uppdateringsprocessen börjar i mars 2026 för kvalificerade användare, med många system från 2024 och nästan alla från 2025 som redan inkluderar certifikaten i sin firmware. För att verifiera om en PC har de nya certifikaten kan användare köra ett PowerShell-kommando som administratör: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Ett «true»-resultat indikerar att den aktiva databasen använder det uppdaterade certifikatet. Ytterligare steg inkluderar att säkerställa att Secure Boot är aktiverat, kontrollera firmware-uppdateringar från OEM:er som Dell, HP, Lenovo eller Asus, och ha en BitLocker-återställningsnyckel redo om kryptering är aktiv. För äldre PC:er kan återställning av Secure Boot-nycklar i BIOS frigöra utrymme i NVRAM. Microsoft har samarbetat med stora PC-tillverkare för att förbereda denna övergång, som de beskriver som en standard branschpraxis för att anpassa sig till moderna säkerhetsstandarder. IT-organisationer har informerats sedan förra året, och hemanvändare kan söka stöd via Microsofts tjänster.
