A Microsoft 2026-os határidőt szab a Secure Boot tanúsítvány lejáratára

A Microsoft figyelmezteti a Windows-felhasználókat és a IT-adminisztrátorokat hogy az eredeti Secure Boot tanúsítványok 2011-ben kiadott tanúsítványok 2026 júniusában járnak le, a további lejáratok pedig 2026 októberéig tartanak. A vállalat szerint már megkezdődött az érintett rendszerek frissítése egy új, 2023-as tanúsítványkészlettel, amelyet a rendszeres Windows frissítéseken keresztül szállítanak számos eszköz esetében.

Az értesítés a Microsoft 2026. január 13-i, a Windows 11 (KB5074109) javítási keddi kiadási megjegyzéseiben jelenik meg a "Windows Secure Boot tanúsítvány lejárata" alatt, ahol a Microsoft felhívja a figyelmet a 2026. júniusi kezdési dátumra, és a felhasználókat felkészülési útmutatóra irányítja.

A Microsoft 2026. február 10-én a KB5079373 ("When Secure Boot certificates expire on Windows devices") című dokumentumot is közzétette, amelyben összefoglalja, hogy mit jelent a lejárat, és megismétli, hogy a legtöbb eszközön automatikusan frissíteni kell, míg néhány eszközön OEM firmware-frissítésre lehet szükség.

Mi változik, amikor a 2011-es tanúsítványok lejárnak

A Microsoft szerint a lejárati dátumot elérő eszközöknek továbbra is normálisan kell bootolniuk, és továbbra is megkapják a szokásos Windows-frissítéseket. A legfontosabb különbség az, hogy az újabb tanúsítványok nélküli rendszerek már nem kaphatnak új védelmet a korai indítási folyamathozbeleértve a Windows Boot Managerhez, a Secure Boot adatbázisokhoz, a visszavonási listákhoz és az újonnan felfedezett boot-lánc sebezhetőségek javításaihoz kapcsolódó frissítéseket.

A szélesebb körű Secure Boot tanúsítvány magyarázójában (KB5062710) című dokumentumban a Microsoft hasonlóképpen arra figyelmeztet, hogy bár a mindennapi használat változatlannak tűnhet, az érintett gépek idővel egyre kevésbé lesznek védettek, ahogy új boot-szintű fenyegetések jelennek meg.

Mely tanúsítványok járnak le, és mi lép a helyükre

A Microsoft IT-iránymutatásábana vállalat három, a Microsoft által biztosított Secure Boot tanúsítványt sorol fel, amelyeket a Windows 8 / Windows Server 2012 korszak óta használnak, és azt írja, hogy ezek 2026 júniusától kezdődően kezdenek lejárni, és 2026 októberében járnának le.

A Microsoft az eszközöket 2023-as tanúsító hatóságokra helyezi át, beleértve a Secure Boot adatbázis-frissítések és a Windows rendszerindítási komponensek aláírására használt új bejegyzéseket, és megjegyzi, hogy egyes környezetekben szükség lehet külön 2023-as tanúsítványok hozzáadására attól függően, hogy egy eszköznek miben kell megbíznia (például az Option ROM-hoz kapcsolódó bizalom).

A felhasználók és szervezetek teendői

A legtöbb fogyasztói PC esetében a Microsoft szerint a helyettesítő tanúsítványoknak a Microsoft által kezelt frissítéseken keresztül kell megérkezniük, de figyelmeztet arra, hogy egyes rendszerek esetében előfordulhat, hogy OEM firmware-frissítésre van szükség az új tanúsítványok megfelelő alkalmazásához. A Microsoft azt is tanácsolja, hogy ne kapcsolják ki a biztonságos rendszerindítást (Secure Boot).

A menedzselt flották számára a Microsoft útmutatója és játékkönyve felvázolja a változások leltározásának, felügyeletének és telepítésének módjait (beleértve az Intune, a csoportházirend és a rendszerleíró adatbázis-alapú módszereket) a 2026. júniusi határidő előtt.

Harmadik féltől származó jelentések a bevezetéssel kapcsolatban megjegyzi, hogy a Microsoft ezt a boot trust lánc "generációs frissítéseként" kezeli, és a frissítéseket mostantól a rendszeres Windows szervizelés keretében szállítja a támogatott eszközökre.