Microsoft przygotowuje Windows na wygaśnięcie certyfikatów Secure Boot w 2026 roku

Wprowadzenie do problemu / definicja

Microsoft rozszerza możliwości aplikacji Zabezpieczenia Windows o nowe wskaźniki stanu związane z aktualizacją certyfikatów Secure Boot. Zmiana ma pomóc użytkownikom oraz administratorom ocenić, czy urządzenie zostało przygotowane na wygaśnięcie certyfikatów używanych od 2011 roku do weryfikacji zaufanego łańcucha rozruchu.

Secure Boot to mechanizm bezpieczeństwa UEFI, który ogranicza uruchamianie nieautoryzowanych komponentów podczas startu systemu. Dzięki temu utrudnia działanie bootkitów, rootkitów oraz innego złośliwego systemu próbującego przejąć kontrolę nad urządzeniem jeszcze przed załadowaniem systemu operacyjnego.

W skrócie

• Microsoft dodaje w aplikacji Zabezpieczenia Windows informacje o stanie aktualizacji certyfikatów Secure Boot.
• Nowe wskaźniki pokażą, czy urządzenie otrzymało nowsze certyfikaty z 2023 roku oraz czy wymagane są działania administracyjne.
• Certyfikaty Secure Boot z 2011 roku zaczynają wygasać od czerwca 2026 roku, a pełne wygaśnięcie nastąpi do października 2026 roku.
• Na systemach Home i Pro funkcja będzie domyślnie aktywna, natomiast w środowiskach zarządzanych centralnie i na serwerach pozostanie domyślnie wyłączona.

Kontekst / historia

Przez lata ekosystem Windows opierał się na zestawie certyfikatów Secure Boot z 2011 roku, zapisanych w bazach zaufania firmware’u i wykorzystywanych do podpisywania kluczowych komponentów rozruchowych. Ich wygaśnięcie nie oznacza automatycznie, iż urządzenia przestaną się uruchamiać, ale stwarza realny problem dla dalszego utrzymania bezpiecznego procesu rozruchu.

Microsoft już wcześniej rozpoczął dystrybucję nowszych certyfikatów z 2023 roku za pośrednictwem Windows Update. Obecna zmiana nie polega więc na przebudowie samego Secure Boot, ale na zwiększeniu widoczności statusu aktualizacji po stronie użytkownika i administratora lokalnego. To istotne, ponieważ wcześniej ocena gotowości urządzenia do migracji certyfikatów była znacznie trudniejsza.

Analiza techniczna

Nowe wskaźniki w aplikacji Zabezpieczenia Windows mają prezentować trzy najważniejsze elementy: informację, czy aktualizacja certyfikatów została wdrożona, jaki jest bieżący stan ochrony oraz czy urządzenie wymaga działań naprawczych. Jest to warstwa obserwowalności, która upraszcza ocenę stanu obszaru zwykle ukrytego na styku firmware’u UEFI, magazynów kluczy Secure Boot i podpisanych binariów rozruchowych.

Wdrożenie zaplanowano etapowo. W pierwszej fazie użytkownicy otrzymają widok statusu aktualizacji, oznaczenia wizualne oraz informacje diagnostyczne. W drugiej fazie pojawią się powiadomienia dla stanów wymagających interwencji oraz dla przypadków krytycznych. Dla wybranych wersji Windows 11 i Windows Server 2025 pierwszy etap zaplanowano na 8 kwietnia 2026 roku, a dla Windows 10 oraz części starszych platform serwerowych na 14 kwietnia 2026 roku. Drugi etap ma zostać udostępniony w maju 2026 roku.

Istotne znaczenie ma również model aktywacji. Na urządzeniach konsumenckich funkcja będzie domyślnie włączona, natomiast w środowiskach enterprise i na serwerach pozostanie domyślnie wyłączona. Zachowanie tej funkcji można kontrolować poprzez wpis rejestru HideSecureBootStates w gałęzi polityk Zabezpieczeń Windows, gdzie wartość 0 włącza widoczność stanu, a 1 ukrywa wskaźniki.

Konsekwencje / ryzyko

Najważniejsze ryzyko dotyczy przejścia urządzeń do stanu obniżonej odporności w obszarze rozruchu. Taki scenariusz nie musi powodować natychmiastowej awarii, ale może utrudnić lub uniemożliwić dostarczanie przyszłych aktualizacji zabezpieczeń dla komponentów uruchamianych przed startem systemu operacyjnego.

Dla organizacji problem ma również wymiar operacyjny i zgodnościowy. W heterogenicznych środowiskach obejmujących różne wersje Windows, urządzenia różnych producentów i platformy serwerowe może pojawić się niespójność poziomu gotowości do migracji. jeżeli organizacja nie monitoruje aktywnie tego obszaru, część zasobów może pozostać bez wymaganych aktualizacji aż do momentu wystąpienia problemu z utrzymaniem lub audytem bezpieczeństwa.

Na serwerach oraz w środowiskach zarządzanych centralnie ryzyko jest dodatkowo zwiększone przez fakt, iż nowe wskaźniki będą domyślnie wyłączone. Oznacza to, iż odpowiedzialność za identyfikację urządzeń nieprzygotowanych do zmiany spoczywa przede wszystkim na zespołach administracyjnych i narzędziach centralnego zarządzania.

Rekomendacje

Aktualizację certyfikatów Secure Boot warto traktować jako element hardeningu platformy, a nie jako kosmetyczną zmianę interfejsu systemu. W praktyce organizacje powinny przygotować plan obejmujący identyfikację zagrożonych systemów, walidację zgodności firmware’u oraz kontrolę procesu dystrybucji aktualizacji.

• Zinwentaryzować urządzenia Windows 10, Windows 11 i systemy serwerowe pod kątem wersji systemu, trybu UEFI i stanu Secure Boot.
• Zweryfikować, czy mechanizmy aktualizacji, takie jak Windows Update, WSUS lub Intune, dostarczają pakiety wymagane do wdrożenia nowych certyfikatów.
• Sprawdzić zgodność firmware’u oraz zalecenia producentów sprzętu, zwłaszcza w środowiskach OEM.
• Włączyć monitorowanie statusu na urządzeniach testowych i pilotażowych, aby wcześniej wykryć systemy pozostające poza procesem aktualizacji.
• Przygotować procedurę walidacji po wdrożeniu, obejmującą potwierdzenie obecności nowych certyfikatów oraz gotowości urządzenia do dalszych aktualizacji elementów boot chain.
• Uwzględnić ten obszar w komunikacji między zespołami endpoint management, infrastruktury, compliance i wsparcia użytkowników.
• Przeprowadzić testy na ograniczonej grupie urządzeń przed szerokim wdrożeniem, szczególnie tam, gdzie używane są niestandardowe konfiguracje rozruchu lub rozwiązania wielosystemowe.

Podsumowanie

Microsoft zwiększa przejrzystość procesu wymiany certyfikatów Secure Boot przed ich wygaśnięciem w 2026 roku, dodając nowe wskaźniki stanu i planując powiadomienia w aplikacji Zabezpieczenia Windows. Z perspektywy cyberbezpieczeństwa to ważna zmiana, ponieważ dotyczy integralności łańcucha rozruchu, czyli jednego z najbardziej krytycznych elementów zaufania platformy.

Dla użytkowników domowych proces ma być w dużej mierze automatyczny, jednak dla organizacji najważniejsze pozostają centralne monitorowanie, inwentaryzacja i walidacja gotowości urządzeń. Zaniedbanie tego obszaru może nie wywołać natychmiastowych problemów, ale w dłuższej perspektywie znacząco ograniczy możliwość bezpiecznego utrzymania systemów.

Źródła

1. Help Net Security — https://www.helpnetsecurity.com/2026/04/03/windows-secure-boot-certificate-update-2026-expiration/
2. Microsoft Support — https://support.microsoft.com/topic/5ce39986-7dd2-4852-8c21-ef30dd04f046
3. Microsoft Support — https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
4. Microsoft Support — https://support.microsoft.com/en-us/topic/secure-boot-certificate-updates-guidance-for-it-professionals-and-organizations-e2b43f9f-b424-42df-bc6a-8476db65ab2f