Fiecare PC Windows cu funcție Secure Boot pe care l-ați folosit în ultimul deceniu s-a bazat pe același set de certificate criptografice pentru a-și menține procesul de boot în siguranță.
Aceste certificate au fost emise de Microsoft în 2011 și reprezintă motivul pentru care computerul dumneavoastră poate verifica dacă software-ul care se încarcă înainte de pornirea Windows este legitim și nu a fost modificat.
Sunt integrate în firmware-ul plăcii de bază și majoritatea oamenilor nu au avut niciodată un motiv să se gândească la ele. Acest lucru este pe cale să se schimbe.
Pe 24 iunie 2026, expiră primul dintre aceste certificate, iar dacă PC-ul dumneavoastră nu este actualizat la timp, acesta nu se va opri brusc din pornire și chiar va primi în continuare actualizări regulate, dar va pierde capacitatea de a primi viitoare actualizări de securitate pentru unele dintre cele mai sensibile părți ale procesului de pornire Windows.
Microsoft a început să implementeze înlocuiri prin Windows Update, dar acesta nu este un simplu patch. Necesită coordonare între Microsoft, producătorul PC-ului dumneavoastră și, în unele cazuri, dumneavoastră.
Microsoft însuși a numit acesta unul dintre cele mai mari eforturi coordonate de întreținere a securității din întregul ecosistem Windows.
Lanțul de încredere al Secure Boot este construit pe certificate care nu au fost niciodată menite să dureze pentru totdeauna
Pentru a înțelege de ce este important acest lucru, trebuie să înțelegeți cum funcționează de fapt Secure Boot. Nu este un comutator în setările BIOS, chiar dacă acolo este locul unde majoritatea oamenilor îl întâlnesc pentru prima dată.
Secure Boot este un lanț de încredere, o ierarhie de certificate criptografice stocate în firmware-ul UEFI al plăcii de bază, care validează fiecare software care rulează înainte de încărcarea sistemului de operare. Dacă vreo verigă din acest lanț este ruptă sau expirată, capacitatea întregului sistem de a se proteja se degradează.
În vârful acestui lanț se află Cheia Platformei, sau PK. Aceasta este deținută de producătorul PC-ului dumneavoastră, fie că este vorba de Dell, Lenovo, HP, ASUS sau oricine a construit placa.
PK este rădăcina încrederii și autorizează modificările la tot ceea ce se află sub ea. Sub PK se află Cheia de Schimb de Chei, sau KEK. Certificatul KEK de la Microsoft este cel care oferă Windows autoritatea de a actualiza următorul strat inferior: Baza de Date de Semnături, cunoscută sub numele de DB, și Baza de Date de Semnături Interzise, DBX.
Baza de date conține certificatele în care PC-ul dumneavoastră are încredere pentru a semna bootloader-ele, driverele și componentele firmware-ului. Gândiți-vă la aceasta ca la lista de invitați pentru procesul de boot.
DBX este lista de blocare, care conține semnăturile software-ului cunoscut ca fiind rău intenționat, cărora nu ar trebui să li se permită niciodată să ruleze în timpul bootării. Când PC-ul pornește, Secure Boot verifică totul în aceste baze de date. Dacă un bootloader este semnat de un certificat din baza de date, acesta rulează. Dacă se potrivește cu ceva din DBX, este blocat. Acest lucru se întâmplă înainte ca Windows să se încarce, ceea ce îl face atât de eficient ca mecanism de securitate și atât de periculos atunci când merge prost.
Iată problema: trei dintre certificatele din acest lanț expiră. Atât Microsoft Corporation KEK CA 2011, cât și Microsoft UEFI CA 2011 expiră în iunie 2026. Microsoft Windows Production PCA 2011, care semnează bootloader-ul Windows, expiră în octombrie 2026.
Odată ce expiră, PC-ul nu le mai poate utiliza pentru a valida noile actualizări și nu poate aplica noi măsuri de îmbunătățire a securității procesului de boot. Practic, ești blocat în timp, rulând orice protecții aveai la data expirării, fără nicio modalitate de a adăuga altele noi.
Certificatele de înlocuire au împărțit lucrurile dintr-un motiv anume: E mai sigur așa
Certificatele de înlocuire din 2023 nu sunt un schimb de unul la unu. Microsoft a restructurat de fapt modul în care funcționează certificatele și merită să înțelegem de ce.
Certificatul original Microsoft Corporation UEFI CA 2011 semna totul, inclusiv bootloader-ele terțe, ROM-urile opționale pentru plăcile suplimentare, cum ar fi plăcile grafice și adaptoarele de rețea, și diverse componente de firmware.
Aceasta a fost o acordare de încredere largă, ceea ce însemna că compromiterea unei părți a ecosistemului s-ar putea extinde în moduri greu de prevăzut.
Noua structură separă aceste responsabilități. Există Microsoft Corporation KEK 2K CA 2023, care înlocuiește KEK și autorizează actualizările bazelor de date și DBX, Windows UEFI CA 2023 pentru semnarea componentelor bootloader-ului Windows și apoi există un Microsoft Option ROM UEFI CA 2023 separat, special pentru ROM-urile opționale terțe și firmware-ul plăcilor suplimentare.
Această separare înseamnă că sistemele care nu trebuie să aibă încredere în ROM-urile opționale nu trebuie să o facă, ceea ce reprezintă o îmbunătățire reală a gradului de granularitate a modelului de încredere Secure Boot.
Este genul de schimbare care ar fi trebuit să se întâmple cu ani în urmă, dar certificatele originale trebuiau să expire mai întâi pentru a impune tranziția.
Dacă toate acestea sună a alarmă, luați în considerare BlackLotus. Descoperit în 2023, BlackLotus a fost primul bootkit UEFI care a ocolit Secure Boot pe sistemele Windows 11 complet actualizate.
Acesta a exploatat CVE-2022-21894, cunoscut sub numele de Baton Drop, și CVE-2023-24932, care au apărut ca o încercare de a se proteja împotriva BlackLotus.
Acestea erau vulnerabilități care permiteau atacatorilor să schimbe un bootloader modern și securizat cu unul mai vechi și vulnerabil, dar care certificatele sistemului încă îl consideră de încredere.
Atacul a profitat de faptul că DBX-ul Secure Boot nu fusese actualizat pentru a revoca acei manageri de boot mai vechi, o eroare care se datorează direct complexității gestionării încrederii bazate pe certificate la nivel de firmware.
Odată încărcat, BlackLotus putea dezactiva BitLocker, Hypervisor-Protected Code Integrity și Windows Defender, toate înainte ca sistemul de operare să pornească. Rula la nivel de firmware, invizibil pentru software-ul antivirus.
Dacă v-ați întrebat vreodată de ce contează securitatea la nivel de boot, acesta este exact motivul. Un atacator cu acces la lanțul dumneavoastră de bootare poate deține efectiv întregul sistem, iar nicio protecție endpoint care rulează în Windows nu poate face nimic în această privință.
De atunci, Microsoft lucrează la revocarea managerilor de bootare vulnerabili, dar actualizarea DBX-ului Secure Boot pentru a bloca acele bootloader-e vechi a fost extrem de lentă, tocmai pentru că o greșeală poate face ca un sistem să nu poată fi bootat, iar Microsoft a recunoscut chiar și acest lucru direct. HP, de exemplu, a avut o eroare de firmware care putea împiedica bootarea completă a sistemelor după aplicarea anumitor revocări Secure Boot, ceea ce însemna că Microsoft a trebuit să adauge verificări specifice dispozitivului înainte de a implementa soluțiile.
Certificatele care expiră agravează situația. Fără certificate actualizate, PC-ul nu poate primi revocările necesare pentru a bloca exploit-uri precum BlackLotus.
Sunteți blocat cu un proces de bootare care are încredere în software-ul în care nu ar trebui să aibă încredere și nu există niciun mecanism pentru a-l remedia ulterior.
Microsoft a menționat în mod explicit că certificatele actualizate din 2023 reprezintă cea mai recentă măsură de securitate pentru a remedia vulnerabilitatea BlackLotus, ceea ce face ca aceasta să fie o soluție de securitate la care se lucrează de trei ani.
Nu toate PC-urile sunt în aceeași situație:
PC-urile Copilot+ sunt sigure
PC-urile Copilot+ și majoritatea dispozitivelor fabricate începând cu 2024 sunt deja livrate cu noile certificate din 2023 instalate, iar aproape toate dispozitivele livrate în 2025 le includ și ele.
Dacă ați cumpărat un PC nou în ultimul an sau doi, probabil că sunteți gata. Pentru toți ceilalți, adică majoritatea PC-urilor Windows utilizate activ în prezent, actualizarea trebuie să aibă loc.
Microsoft a început să implementeze noile certificate prin intermediul actualizărilor Windows regulate pe sistemele acceptate.
Pentru utilizatorii casnici care folosesc Windows 11 și au actualizări gestionate de Microsoft, acest lucru ar trebui să se întâmple automat pe parcursul ciclului lunar de actualizare.
Microsoft implementează acest lucru treptat, extinzându-se pe baza datelor de diagnosticare de la dispozitive pentru a se asigura că actualizările sunt sigure înainte de a le lansa pe scară mai largă.
În lunile următoare, starea actualizării certificatelor va apărea și în aplicația Windows Security, ceea ce ar trebui să faciliteze urmărirea pentru consumatori.
Însă pentru mediile enterprise, este mai complicat. Administratorii IT trebuie să activeze cel puțin nivelul „necesar” de date de diagnosticare Windows, astfel încât Microsoft să poată verifica dacă un dispozitiv este pregătit pentru actualizare.
Există, de asemenea, o cheie de registry pentru a vă înscrie, calea este:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurebootAceasta are valoarea DWORD de mai jos și care trebuie setată la orice valoare diferită de zero:
MicrosoftUpdateManagedOptInDincolo de aceasta, Microsoft oferă patru metode diferite de implementare, ceea ce vă spune cât de variate sunt mediile pe care încearcă să le suporte:
- Intune
- Politica de grup
- chei de registry
- API-ul sistemului de configurare Windows
Aceasta nu este o soluție cu un singur clic pentru oricine gestionează o flotă de dispozitive.
Iată însă problema: actualizarea Microsoft singură nu este suficientă. Producătorul OEM al PC-ului dumneavoastră trebuie să furnizeze mai întâi o actualizare de firmware.
Această actualizare de firmware este cea care actualizează Cheia Platformei și pregătește mediul UEFI pentru a accepta noile certificate.
Fără aceasta, aplicarea actualizării certificatului prin Windows ar putea eșua sau, în cel mai rău caz, ar putea cauza probleme de bootare.
Microsoft a colaborat îndeaproape cu producătorii de echipamente originale (OEM) în această privință, iar mulți au publicat propriile pagini cu îndrumări, dar nu toți producătorii de echipamente originale oferă actualizări de firmware pentru hardware mai vechi.
Dacă PC-ul dumneavoastră are o vechime mai mare de cinci sau șase ani, există o șansă reală ca producătorul să fi opritsuportul și este posibil să rămâneți blocați cu certificate expirate și fără nicio cale de urmat.
Utilizatorii de Windows 10 se află într-o situație deosebit de dificilă
Există un grup afectat în mod special de acest lucru, și este unul mare: utilizatorii de Windows 10.
Microsoft a încheiat asistența pentru Windows 10 în octombrie 2025, iar dispozitivele care rulează versiuni neacceptate de Windows nu primesc deloc actualizări Windows.
Asta înseamnă că nu vor primi noile certificate Secure Boot. Cu excepția cazului în care v-ați înscris la Actualizări de Securitate Extinse (care are propriile costuri și limitări), calculatorul dumneavoastră cu Windows 10 pur și simplu nu va primi niciodată certificatele din 2023 prin canalele normale.
Recomandarea oficială a Microsoft este să faceți upgrade la o versiune acceptată de Windows, ceea ce pentru majoritatea oamenilor înseamnă Windows 11.
Dar aceasta nu este întotdeauna o opțiune. Cerințele hardware ale Windows 11, în special cerința TPM 2.0, au blocat milioane de PC-uri altfel perfect funcționale, chiar dacă există soluții alternative.
Așadar, este posibil să aveți o mașină prea veche pentru Windows 11, dar care încă rulează Windows 10, iar acum este și prea veche pentru a primi certificate Secure Boot actualizate.
Aceste probleme se acumulează una peste alta și nu există o soluție clară pentru acești utilizatori.
Sistemele afectate se extind și dincolo de desktop-urile și laptopurile fizice. Mașinile virtuale care rulează pe VMware, Hyper-V și Azure sunt toate supuse aceleiași expirări de certificat.
Microsoft a publicat îndrumări separate pentru Windows Server, Windows 365 și Azure Virtual Desktop, fiecare cu propriile considerații de implementare.
Dacă utilizați mașini virtuale cu Secure Boot activat, și ar trebui să faceți acest lucru, și acestea necesită actualizarea certificatului.
Ce ar trebui să faceți acum?
Dacă ești utilizator casnic, asigură-te că PC-ul tău este configurat să primească automat actualizări Windows și că folosești o versiune de Windows acceptată.
Verifică cu producătorul PC-ului dacă există actualizări de BIOS sau firmware disponibile și instalează-le mai întâi. După aceea, lasă Windows Update să-și facă treaba. Urmărește aplicația Windows Security pentru notificări privind starea certificatelor, pe măsură ce Microsoft le lansează.
Dacă gestionezi dispozitive într-o întreprindere, acest lucru este mult mai urgent. Microsoft recomandă verificarea paginii certificatului Secure Boot pentru îndrumări mai actualizate.
Începe prin a verifica cheia de registry „UEFICA2023Status” pentru a urmări implementările și aplică actualizări de firmware OEM pe toate dispozitivele tale înainte de lansarea actualizării certificatului Windows.
Termenul limită nu este flexibil. 27 iunie 2026 este data expirării primelor certificate, iar octombrie 2026 urmează.
PC-ul tău nu se va bloca singur la acea dată, dar fiecare zi după aceea, fără certificate actualizate, este o zi în care procesul de bootare este mai puțin sigur decât ar trebui să fie.
Microsoft a descris acest lucru ca intrând într-o „stare de securitate degradată” și, având în vedere ceea ce a demonstrat BlackLotus, acesta nu este un risc care merită să fie asumat.
Lanțul de bootare este singurul loc în care securitatea trebuie să funcționeze, deoarece tot ce urmează depinde de el.
Lasă un răspuns