Windows Secure Boot 2026: Microsoft süresi dolan sertifikalar konusunda son uyarısını yaptı

Microsoft, orijinal 2011 sertifikalarının süresi Haziran 2026'da dolmaya başladığında Windows'un ihtiyaç duyacağı yedek Secure Boot sertifika zincirini kullanıma sunmaya başladı bile. Notebookcheck geçtiğimiz günlerde Microsoft'un uyarısını ele aldı ve son kümülatif güncellemelerde ortaya çıkan erken dağıtım sinyalleri, ancak bir sonraki aşama Windows ile ilgili değil ve daha çok ürün yazılımı hazırlığı ile ilgili.

Bilgisayarınızın UEFI aygıt yazılımı yeni 2023 sertifikalarını kabul etmeye ve saklamaya hazır değilse, Windows Update aktarımı deneyebilir ve yine de cihazı Microsoft'un bozulmuş güvenlik durumu olarak tanımladığı ve gelecekteki önyükleme ile ilgili güvenlik güncellemelerinin temiz bir şekilde uygulanamayacağı bir durumda bırakabilir.

Gerçekte neyin süresi doluyor ve ne zaman?

Microsoft'un uzun süredir devam eden Secure Boot 2011'deki güven çapalarının süresi Haziran 2026'nın sonlarında dolmaya başlayacak ve 2026'nın ilerleyen dönemlerinde ek süreler eklenecektir. Dell'in dökümü ilk 2011 sertifika sona erme tarihini 24 Haziran 2026 (Microsoft Corporation KEK CA 2011) ve ardından 27 Haziran 2026 (Microsoft Corporation UEFI CA 2011) olarak listeleyen en net kamuya açık zaman çizelgelerinden biridir) ve 19 Ekim 2026'da sona eren başka bir anahtar sertifika (Microsoft Windows Production PCA 2011).

Pratikte, birden fazla satıcı aynı sonucu tekrarlıyor: sistemlerin önyüklemeye devam etmesi bekleniyor, ancak 2023 dönemi sertifika zincirine geçmeyen cihazlar gelecekteki önyükleyici ve Güvenli Önyükleme güncellemelerini alma yeteneğini kaybedebilir, bu da "bozulmuş güvenlik" ifadesinin geldiği yerdir.

Microsoft'un rolü: Windows yeni güven zincirini sunabilir, ancak yalnızca ürün yazılımı işbirliği yaparsa

Temel teknik etkinleştirici zaten desteklenen Windows yapılarında yer alıyor. Microsoft'un KB5036210 notları şubat 13, 2024 ve sonrasında yayınlanan Windows güncellemelerinin Windows UEFI CA 2023 sertifikasını UEFI Güvenli Önyükleme İzin Verilen İmza Veritabanına (db) uygulama özelliğini içerdiğini ve aylık güncellemeler yoluyla gelecekteki önyükleme yükleyici güncellemelerini almak için db'nin güncellenmesinin gerekli olduğunu belirtti.

Microsoft ayrıca "çoğu kişisel Windows cihazının" yeni sertifikaları Microsoft tarafından yönetilen güncellemeler aracılığıyla otomatik olarak alması gerektiğini söylüyor, ancak bazı cihazların yeni sertifikaları doğru bir şekilde uygulamak için OEM ürün yazılımı güncellemesi gerektirebileceği konusunda açıkça uyarıyor.

OEM'lerin devreye girdiği yer: Etkin anahtarlar vs Varsayılan anahtarlar ve sıfırlamalar neden sizi ısırabilir?

Bu noktada satıcı firmware politikası çoğu ev kullanıcısının fark ettiğinden daha önemlidir. Dell'in Güvenli Önyükleme Geçişi SSS'si, Aktif Güvenli Önyükleme veritabanı (sistemin önyükleme sırasında gerçekte uyguladığı ve Windows Update'in genellikle değiştirdiği) ile Varsayılan Güvenli Önyükleme veritabanı (genellikle BIOS yanıp sönerek güncellenen fabrika ayarlarına sıfırlama seti) arasında ayrım yapar. Dell ayrıca, "Uzman Anahtar Modu "nu değiştirmek gibi belirli ürün yazılımı eylemlerinin, Varsayılan veritabanı uygun şekilde güncellenmemişse Windows Update'ten gelen Aktif değişkenleri silebileceği konusunda uyarmaktadır.

Aynı Dell belgesinde "ikili sertifika stratejisi" de tanımlanmakta ve Dell'in 2024'ün sonlarında yeni piyasaya sürülen platformlara hem 2011 hem de 2023 sertifikalarını göndermeye başladığı ve bu yaklaşımı 2025'in sonuna kadar fabrikalardan gönderilen sürekli platformlarda genişlettiği belirtilmektedir.

Lenovo'nun ticari bilgisayarlar için kendi kılavuzu da benzer şekilde düzeltmeyi, 2023 sertifikalarını varsayılan Güvenli Önyükleme değişkenlerine ekleyen bir BIOS güncellemesi olarak çerçeveliyor ve önceden yapılandırılmamış sistemlerde 2023 değişkenlerini etkinleştirmek için bazen ek adımlar gerekiyor. Ayrıca BitLocker kurtarmayı potansiyel bir yan etki olarak işaret ediyor, bu nedenle ürün yazılımı değişikliklerinden önce kurtarma anahtarlarını yedeklemek iyi bir uygulama olmaya devam ediyor.

HP'nin tavsiyesi de aynı şekilde Secure Boot özellikli HP ürünlerini hazırlamak için Microsoft ile birlikte çalıştığını söylüyor ve sertifika süresinin dolmasının sistemlerin Güvenli Önyükleme ve Windows Önyükleme Yöneticisi ile ilgili güvenlik güncellemelerini almasını engelleyerek bootkit tarzı tehditlere maruz kalmasını artırabileceği konusunda uyarıyor.

DIY ve oyun anakartı sorunu: bazen "varsayılan anahtarları" kendiniz yüklemeniz gerekir

ASUS, yeni 2023 girişlerinin aygıt yazılımında mevcut olduğunun nasıl doğrulanacağı ve mevcut değilse ne yapılacağı da dahil olmak üzere, bu geçiş için oldukça prosedürel, adım adım bir kılavuz yayınlayan birkaç tüketiciye yönelik satıcıdan biridir.

destek SSS'sindeaSUS, UEFI Güvenli Önyükleme anahtarı yönetiminde gezinmeyi ve KEK'in "Microsoft Corporation KEK 2K CA 2023" içerdiğini ve db'nin "Windows UEFI CA 2023" içerdiğini (diğer 2023 dönemi Microsoft girişlerinin yanı sıra) doğrulamayı açıklamaktadır. Ayrıca, BIOS'u güncelledikten sonra "Varsayılan Güvenli Önyükleme Anahtarlarını Yükle" veya "Fabrika Anahtarlarını Geri Yükle" gibi düzeltme adımlarını da belgeliyor, bu da anahtar veritabanlarını ürün yazılımının varsayılan deposundan etkili bir şekilde yeniden dolduruyor.

Bu, DIY sistemlerini en çok etkileyen boşluktur: Windows güncellemeleri sunabilir, ancak anakart ürün yazılımı yeni anahtarların tam olarak mevcut ve etkin olması için hala manuel müdahale gerektirebilir.

Microsoft'un resmi sinyallerini kullanarak hazır olma durumu nasıl kontrol edilir?

BT tarafından yönetilen filolar için Microsoft'un Secure Boot oyun kitabı izleyebileceğiniz somut göstergeleri ana hatlarıyla belirtir.

Microsoft, başarılı bir dağıtımın Olay Kimliği 1808 için Windows Sistem Olay Günlüğü girdilerini denetleyerek onaylanabileceğini ve güncellenmiş sertifikaları uygulama başarısızlıklarının Olay Kimliği 1801 ile ilişkili olduğunu söylüyor. Aynı çalışma kitabı ayrıca UEFICA2023Status kayıt defteri anahtarının nihai olarak "Güncellendi" olarak okunması gerektiğini ve bir hata beklemede olmadığı sürece UEFICA2023Error anahtarının mevcut olmaması gerektiğini belirtmektedir.

Çalışma kitabı ayrıca, kuruluşunuzda sorunlar tespit edilmişse veya OEM'iniz bir BIOS güncellemesi öneriyorsa, Güvenli Önyükleme ile ilgili Windows güncellemelerinden önce OEM ürün yazılımı güncellemelerinin uygulanmasını açıkça önermektedir; bu da genel temayı güçlendirmektedir: Windows tarafı hikayenin sadece yarısıdır.

Windows 10 "zombi" uç durumu hala gerçek

Son olarak, sertifika yenileme Windows 10'u bırakmayanlar için bir başka baskı noktasıdır. Microsoft'un kendi destek belgelerinde Windows 10 desteğinin 14 Ekim 2025 tarihinde sona erdiği belirtilmekte ve Microsoft bu tarihten sonra güvenlik güncelleştirmelerini almaya devam etmek için ücretli yol olarak Windows 10 Genişletilmiş Güvenlik Güncelleştirmeleri'ni (ESU) konumlandırmaktadır.

Microsoft'un Güvenli Önyükleme kılavuzu da desteklenmeyen Windows sürümlerine sahip cihazların Windows güncellemelerini alamayacağını yinelemektedir, bu nedenle Secure Boot devir, desteklenen bir hizmet yolunda (veya uygun olduğu durumlarda Windows 10 için ESU) kalmaya etkin bir şekilde bağlıdır.