Exspirujú Secure Boot certifikáty, PC bez nových môžu mať čoskoro problémy

Značky: PCMicrosoftbezpečnosť

DSL.sk, 25.6.2026

V týchto dňoch exspirujú dva bezpečnostné certifikáty spoločnosti Microsoft používané mechanizmom Secure Boot od zavedenia tejto funkčnosti. Na počítačoch so zapnutým Secure Boot, kde neprišlo k nahratiu nových certifikátov, môžu čoskoro potenciálne vzniknúť problémy pri bootovaní.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Secure Boot využíva certifikáty používané pre overovanie podpisov a zmien v konfigurácii Secure Boot, ktoré sú uložené v úložisku firmvéru na jednotlivých PC.

Technológia bola v PC bežne zavedená s príchodom Windows 8 uvedeným v roku 2012. Keďže operačný systém Windows od Microsoftu mal stále veľmi dominantné postavenie, výrobcovia PC v Secure Boot používajú certifikáty Microsoftu. Pôvodne sa používali certifikáty Microsoftu vytvorené v roku 2011, ktoré ale exspirujú tento rok.

Včera 24. júna 2026 exspiroval prvý označený Microsoft Corporation KEK CA 2011, ktorý je typu KEK, Key Enrollment Key, a používa sa pre overovanie podpisov aktualizácií konfigurácie Secure Boot v podobe databáz DB a DBX.

27. júna exspiruje certifikát Microsoft UEFI CA 2011, ktorý sa používa na overovanie podpisov iných bootloaderov ako Windows bootloader, EFI aplikácií a ROM komponentov.

Následne 19. októbra exspiruje certifikát Microsoft Windows Production PCA 2011, ktorý sa používa na overovanie podpisov Windows bootloadera.

Microsoft už v roku 2023 nasadil nové certifikáty na tieto účely, pre ich použitie je ich potrebné ale samozrejme nahrať do firmvéru jednotlivých PC. Na väčšine PC sa nové certifikáty nahrali cez aktualizácie Windows, možné je tiež nahratie cez aktualizácie firmvéru a BIOS-u od výrobcu PC.

Aká časť počítačov so Secure Boot nemá nahraté nové certifikáty, nie je jasné.

Z informácií Microsoftu vyplýva, že počítače neprestanú pri bootovaní akceptovať doterajší softvér podpísaný už exspirovanými certifikátmi a doterajší softvér má aj pri zapnutom Secure Boot fungovať naďalej.

Problém ale vznikne, keď sa po exspirácii týchto certifikátov aktualizuje podpísaný softvér. Zároveň bez nových certifikátov počítače nebudú akceptovať ani rozličné zmeny v konfigurácii Secure Boot vrátane zmien zlepšujúcich bezpečnosť.

Aké reálne problémy je kvôli exspirácii týchto certifikátov možné očakávať, kedy a v akom rozsahu, nie je jasné.


Najnovšie články:



Diskusia:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: patkaňa | Pridané: 25.6.2026 12:29 Konečne, po asi dvoch dekádach som prešiel z tohto ballastu na niečo iné, kde som pánom ja, nie systém. A už sa vrátiť nechcem. Môjho srdca šampión - Fedora 44 KDE Plasma. Odpovedať Známka: 5.6 Hodnotiť:

ultraradikálny optimalizatorizmus Od: syntaxterrorXXX, . Y | Pridané: 25.6.2026 13:02 To niečo iné má celé UI priekazne postavené na feedbacku toho ballastu. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: monopol | Pridané: 25.6.2026 13:05 Skúšal som kadečo, nakoniec som aj tak skončil na archu :( Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: sensei-san | Pridané: 25.6.2026 13:10 Active AUR malicious packages incident - https://tinyurl.com/muxav23n oops. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: mgr | Pridané: 25.6.2026 13:18 Tento problem sa netyka Windows, ale UEFI a Secure Boot, cize pocitacov ako takych. Cize bez ohadu na operacny system moze nastat problem, ze clovek nenabootuje OS podpisany novymi certifikatmi, napriklad mozno aj aktualizovany Linux. Riesenie je vypnut Secure Boot, co ale zase moze mat dalsie suvislosti. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? w2k Od: ____________ | Pridané: 25.6.2026 13:31 m$ je velka a hlupa firma, nieco ako markiza pre blondyni, progresivcov atd Odpovedať Hodnotiť:

overenie Od: sensei-san | Pridané: 25.6.2026 13:08 Užitočné by bolo mať návod, ako si ten certifikát a jeho dátumy platnosti pozrieť. Odpovedať Hodnotiť:

Re: overenie Od: ___________ | Pridané: 25.6.2026 13:18 hlavu si lamat s dalsimi )-(&('47€+"_):)&);?:("+_" ? na kokociny, na to by ich bolo Odpovedať Hodnotiť:

Re: overenie Od: mgr | Pridané: 25.6.2026 13:25 # Script to verify Secure Boot 2023 Certificate Status $Results = @() # 1. Check Windows UEFI CA 2023 (Required for OS Booting) $dbRaw = [System.Text.Encoding]::ASCII.GetString( (Get-SecureBootUEFI db).Bytes) $Results += [PSCustomObject]@{ Component = "Windows UEFI CA 2023 (db)" Status = $dbRaw -match 'Windows UEFI CA 2023' } # 2. Check Microsoft UEFI CA 2023 (Required for Third-Party Drivers/Hardware) $Results += [PSCustomObject]@{ Component = "Microsoft UEFI CA 2023 (db)" Status = $dbRaw -match 'Microsoft UEFI CA 2023' } # 3. Check Microsoft KEK 2K CA 2023 (Required for Future DBX/Revocation Updates) $kekRaw = [System.Text.Encoding]::ASCII.GetString( (Get-SecureBootUEFI KEK).Bytes) $Results += [PSCustomObject]@{ Component = "Microsoft KEK 2K CA 2023 (KEK)" Status = $kekRaw -match 'Microsoft Corporation KEK 2K CA 2023' } $Results | Format-Table -AutoSize Odpovedať Hodnotiť:

Re: overenie Od: err8r8r8e | Pridané: 25.6.2026 13:31 A kam s tym? Odpovedať Hodnotiť:

Re: overenie Od: ___________ | Pridané: 25.6.2026 13:34 nikam, firma co sa hra na ochranu a potrebuje antivir atd ... Odpovedať Hodnotiť:

Pridať komentár