Microsoft on alkanut varoittaa Windows-käyttäjiä aktiivisesti alkuperäisten Secure Bootin sertifikaattien vanhenemisesta. Vuoden 2011 sertifikaatit, joita suurin osa käytössä olevista Windows-laitteista edelleen käyttää, vanhenevat kesäkuusta 2026 alkaen. Laitteet, jotka eivät saa uusia sertifikaatteja siihen mennessä, eivät voi enää asentaa boot-tason tietoturvapäivityksiä. Windows näyttää tilan toukokuun päivitysten jälkeen ensimmäistä kertaa suoraan Tietoturva-sovelluksessa. Ghacks Deutschland kokoaa lisää Microsoftin käyttöjärjestelmää koskevia uutisia Windows-kategoriaan.
Mitä Secure Bootin sertifikaattien vanheneminen käytännössä tarkoittaa
Secure Boot on UEFI-laiteohjelmistostandardin tietoturvaominaisuus, joka estää luvattomien ohjelmistojen lataamisen järjestelmän käynnistyksen aikana. Secure Boot toimii siten, että järjestelmä luottaa tiettyihin sertifikaatteihin. Näihin kuuluvat Microsoftin sertifikaatit, joilla Windows Boot Manager allekirjoitetaan.
Microsoft julkaisi kyseiset PCA 2011 -sertifikaatit eli Platform Certificate Authority 2011 -sertifikaatit alun perin yli kymmenen vuotta sitten. Niiden vanheneminen ei vaikuta välittömästi järjestelmän käynnistymiseen. Windows käynnistyy edelleen, ja olemassa olevat allekirjoitukset pysyvät voimassa. Pois jää mahdollisuus saada uusia boot-tason tietoturvatoimia. Näihin kuuluvat:
- Windows Boot Managerin päivitykset
- Secure Boot -tietokantojen päivitykset
- uudet peruutuslistat turvattomille käynnistyskomponenteille
- suojaukset uusia boot-tason tietoturva-aukkoja vastaan
Laitteet ilman päivitettyjä sertifikaatteja pysyvät siis käyttökelpoisina, mutta niitä ei voida enää suojata uusilta käynnistysvaiheen hyökkäyksiltä tästä ajankohdasta alkaen. Microsoft aikoo ottaa uudet sertifikaattivaatimukset teknisesti kokonaan käyttöön lokakuusta 2026 alkaen.
Näin Secure Bootin tilan voi tarkistaa Windowsissa
Microsoft lisäsi toukokuun 2026 päivityksissä Windowsin Tietoturva-sovellukseen uuden tilanäkymän. Sen löytää näin:
- Avaa Windowsin suojaus hakukentästä tai Ohjauspaneelista.
- Valitse Laitteen suojaus.
- Avaa Secure Boot -osio kohdasta Suojausprosessorin tiedot.
Järjestelmä näyttää yhden kolmesta tilasta: Käytössä eli ajan tasalla eikä toimia tarvita, Pois käytöstä eli manuaalisesti poistettu käytöstä tai ei määritetty, tai Ei tuettu eli vanhempi laitteisto ilman UEFI Secure Boot -tukea. Microsoft aikoo lisätä myöhemmin värikoodatun ilmaisimen vihreällä, keltaisella ja punaisella, jotta tarvittavat toimet näkyvät nopeammin. Tämän visualisoinnin tarkka julkaisuaikataulu ei ole vielä tiedossa.
Windows 10 saa uuden tilanäkymän toukokuun päivityksen KB5087544 kautta. Windows 11 valmistellaan muutosta varten päivityksellä KB5089549. Windows 10:n kohdalla päivitys on lisäksi saatavilla vain laitteille, jotka osallistuvat Extended Security Update eli ESU-ohjelmaan.
Mitä Microsoft tekee ja miten uudet sertifikaatit jaetaan
Microsoft jakaa uudet vuoden 2023 sertifikaatit Windows Updaten kautta. Useimmilla nykyisillä laitteilla, joilla Windows Update on käytössä ja Windows-versio on tuettu, päivityksen pitäisi saapua automaattisesti. Tarkka käyttöönoton tilanne vaihtelee laitekokoonpanon mukaan.
Microsoftin mukaan siirtymässä pätevät seuraavat periaatteet:
- Laitteet, joilla on uudet vuoden 2023 sertifikaatit: toimia ei tarvita.
- Laitteet ilman vuoden 2023 sertifikaattia ja aktiivisella Windows Updatella: sertifikaatti jaetaan automaattisesti.
- Laitteet, joissa päivitykset on poistettu käytöstä, tai hallitut ympäristöt ilman Intune-jakelua: manuaalisia toimia tarvitaan.
- Laitteet, joiden UEFI-laiteohjelmisto ei tue Secure Bootia: eivät kuulu muutoksen piiriin, koska Secure Boot ei ole niissä käytössä.
- Yritysten, jotka hallitsevat Windows-päivityksiä WSUSin, SCCM:n tai vastaavien hallintatyökalujen kautta, kannattaa tarkistaa, sisältyykö sertifikaattipäivitys niiden päivityskäytäntöihin.
Mitä tapahtuu, jos järjestelmä ei saa sertifikaattipäivitystä
Laitteet, joilla on vanhentuneet PCA 2011 -sertifikaatit eikä uusia vuoden 2023 sertifikaatteja, käynnistyvät edelleen normaalisti. Olemassa olevat käynnistysallekirjoitukset pysyvät voimassa. Ero näkyy vasta silloin, kun Microsoft jakaa uusia Boot Manager -versioita tai Secure Boot -tietokantamerkintöjä. Niitä ei voi enää asentaa laitteille, joilla ei ole päivitettyjä sertifikaatteja.
Käytännössä tämä tarkoittaa, että laite ilman päivitettyä sertifikaattia saa kesäkuusta 2026 alkaen edelleen tavallisia Windows-päivityksiä, mutta ei uusia suojauksia juuri löydettyjä UEFI-bootkittejä tai vastaavia hyökkäyksiä vastaan, jotka perustuvat boot-tason allekirjoituksiin. Kuluttajakäyttäjille riski on tällä hetkellä hallittava. Yritys- ja palvelinympäristöissä tarkistus kannattaa tehdä nopeasti.
Microsoft ei ole oman tukidokumentaationsa mukaan julkaissut listaa siitä, mitkä laitemallit saavat uudet sertifikaatit automaattisesti ja mitkä eivät. Käyttäjät, jotka jäävät epävarmoiksi Tietoturva-sovelluksen tarkistuksen jälkeen, löytävät lisätietoja Microsoftin tukisivulta, joka käsittelee Secure Bootin sertifikaattien uusimista.
Tilanteessa 25. toukokuuta 2026 Microsoft aikoo ottaa uudet sertifikaattivaatimukset teknisesti kokonaan käyttöön lokakuussa 2026. Siihen asti käyttäjillä ja ylläpitäjillä on aikaa tunnistaa vaikutuksen alaiset laitteet ja asentaa tarvittavat sertifikaattipäivitykset.