Certificatul original Secure Boot pentru Windows expiră în iunie—ce trebuie să faceți

Certificatul original Secure Boot al Windows expiră în iunie și octombrie 2026, ceea ce ar putea cauza probleme la pornirea sistemelor de operare noi pentru calculatoarele care nu dispun de noile certificate. Potrivit arstechnica.com, Microsoft îi încurajează pe utilizatori să actualizeze certificatele pentru a evita problemele de securitate și compatibilitate pe termen lung.

👉 Funcția și evoluția Secure Boot în Windows

Windows 8 este cel mai cunoscut pentru meniul de start pe ecran complet, centrat pe touchscreen, dar a introdus și numeroase îmbunătățiri interne pentru sistem. Una dintre acestea a fost UEFI Secure Boot, un mecanism care verifică bootloader-urile PC-ului pentru a se asigura că software-ul nevalidat nu poate fi încărcat la pornire. Secure Boot a fost activat, dar a fost tehnic opțional pentru Windows 8 și Windows 10, devenind o cerință oficială începând cu Windows 11 din 2021.

Secure Boot s-a bazat pe aceleași certificate de securitate pentru a verifica bootloader-urile încă din 2011, în timpul ciclului de dezvoltare pentru Windows 8. Aceste certificate originale sunt programate să expire în iunie și octombrie a acestui an, o informație pe care Microsoft o subliniază în cadrul unui comunicat de presă. Această dată de expirare a certificatului nu este o noutate; Microsoft și majoritatea fabricanților de PC-uri au discutat despre aceasta timp de luni sau chiar ani. Lucrările din culise pentru a pregăti ecosistemul Windows au avut loc de ceva vreme. Actualizarea certificatelor de securitate este o procedură obişnuită, pe care majoritatea utilizatorilor o observă doar atunci când ceva nu funcționează corect.

👉 Impactul expirării certificatelor Secure Boot și soluțiile Microsoft

Cu toate acestea, expirarea certificatelor poate cauza probleme pentru PC-urile care nu descarcă actualizările înainte de termenul limită din iunie 2026. Deși aceste PC-uri vor continua să funcționeze, certificatele expirate pot împiedica Microsoft să rezolve vulnerabilitățile nou-descoperite în Secure Boot și pot duce la imposibilitatea de a porni și instala versiuni mai noi de sistem de operare care utilizează noile certificate din era 2023.

“Dacă un dispozitiv nu primește noile certificate Secure Boot înainte ca cele din 2011 să expire, PC-ul va continua să funcționeze normal, iar software-ul existent va continua să ruleze,” afirmă Nuno Costa, un manager de program în cadrul diviziei Windows Servicing and Delivery a Microsoft. “Cu toate acestea, dispozitivul va intra într-o stare de securitate degradată care limitează capacitatea sa de a primi protecții viitoare la nivel de boot. Pe măsură ce noi vulnerabilități la nivel de boot sunt descoperite, sistemele afectate devin din ce în ce mai expuse, deoarece nu mai pot instala noi soluții de protecție.”

Pentru cele mai multe sisteme, inclusiv cele mai vechi, care nu mai sunt suportate activ de către fabricanți, Microsoft se bazează pe Windows Update pentru a furniza certificate actualizate. Pentru PC-urile complet actualizate și funcționale, care rulează versiuni de Windows acceptate cu Secure Boot activat, tranziția ar trebui să fie transparentă, iar utilizatorii s-ar putea să folosească deja noile certificate fără să își dea seama. Acest lucru este posibil deoarece sistemele bazate pe UEFI au o cantitate mică de NVRAM care poate fi utilizată pentru a stoca variabile între boot-uri; în general, sistemele de operare Windows și Linux care utilizează LVFS pentru actualizările firmware ar trebui să fie capabile să actualizeze NVRAM a oricărui sistem dat cu noile certificate.

PC-urile vor avea probleme în implementarea noilor certificate doar dacă NVRAM este plin sau fragmentat într-un fel, sau dacă fabricantul PC-ului furnizează firmware defectuos care nu suportă acest tip de actualizare. Așa cum este detaliat pe o pagină de suport Dell, cel mai simplu mod de a verifica dacă PC-ul dispune de noile certificate este să rulați un comandament PowerShell care verifică certificatul stocat în “active db”, care este utilizat în prezent pentru a porni PC-ul.

Un screenshot de pe un PC cu Windows 11 care folosește deja noile certificate Secure Boot 2023 și care verifică certificatul (primul comandament a returnat “true”), dar care nu are noile certificate integrate în firmware-ul său UEFI (al doilea comandament a returnat “false”). Aceasta este o comportare normală pentru PC-urile mai vechi; pentru PC-urile mai noi, verificați dacă este disponibilă o actualizare BIOS. Dacă al doilea comandament returnează “true”, acest lucru înseamnă că noile certificate sunt, de asemenea, integrate în firmware-ul PC-ului dumneavoastră.

Microsoft recomandă utilizatorilor de acasă care nu pot instala noile certificate să utilizeze serviciile de asistență pentru clienți pentru ajutor. Documentația detaliată este, de asemenea, disponibilă pentru organizații mari care își gestionează propriile actualizări. “Actualizarea certificatului Secure Boot marchează o reîmprospătare generatională a fundamentului de încredere pe care calculatoarele moderne se bazează la pornire,” scrie Costa. “Prin reînnoirea acestor certificate, ecosistemul Windows asigură că inovațiile viitoare în hardware, firmware și sisteme de operare pot continua să se bazeze pe un proces de boot sigur și aliniat la industrie.”