Истечение срока действия Secure Boot: кризис сертификатов в июне 2026 года

Миллионы ПК полагаются на сертификаты безопасности образца 2011 года. Узнайте, как обновить вашу систему до крайнего срока в 2026 году, чтобы избежать снижения уровня защиты.

---

Введение и для кого эта статья

Миллионы ПК, выпущенных с 2012 года, полагаются на сертификаты безопасности от 2011 года, срок действия которых подходит к концу ^[8][16]. Это руководство объясняет, как обеспечить безопасность и работоспособность вашего устройства до наступления крайнего срока в 2026 году.

---

Введение и для кого эта статья

С 2011 года фундамент Secure Boot опирался на один и тот же набор цифровых сертификатов для проверки того, что ваша операционная система не была подделана ^[3][4]. Однако срок действия этих оригинальных сертификатов образца 2011 года истекает в июне 2026 года ^[3][8][16]. Если система не будет обновлена новыми сертификатами образца 2023 года до этого срока, она может со временем потерять способность загружать новые операционные системы или получать критические исправления безопасности ^[3][4][13].

Этот переход является значительным «обновлением поколений» для экосистемы Windows, затрагивающим почти каждый современный ПК ^[15]. Хотя большинство автоматизированных систем справятся с этим обновлением в фоновом режиме, понимание сроков жизненно важно для поддержания целостности системы и соответствия требованиям ^[8][18].

Для кого эта статья

Эта статья предназначена для:

• Домашних пользователей Windows 10 и Windows 11, которые хотят убедиться, что их оборудование останется поддерживаемым ^[14][16].
• ИТ-администраторов, управляющих парками физических или виртуальных машин, требующих ручного контроля обновлений ^[18].
• Пользователей, обеспокоенных долгосрочной стабильностью системы и защитой от угроз на уровне загрузки, таких как буткит BlackLotus ^[15][16].

Что не рассматривается

Это руководство фокусируется именно на развертывании сертификатов под руководством Microsoft для экосистемы Windows ^[14]. Оно не охватывает:

• Оборудование только для Linux: Устройства, работающие исключительно на дистрибутивах Linux, выходят за рамки данной темы, хотя Windows обновит сертификаты для систем с двойной загрузкой (dual-boot) ^[16].
• Оборудование Apple: Хотя macOS технически затрагивается центрами сертификации Secure Boot в некоторых конфигурациях, это выходит за рамки поддержки Microsoft ^[16].
• Legacy Bios: Затрагиваются только системы, использующие UEFI с включенным Secure Boot ^[3][6].

Кратко / Что это значит для вас

Microsoft в настоящее время заменяет свои оригинальные сертификаты Secure Boot, которые были основой доверия при запуске ПК с 2011 года ^[3][15]. Срок действия этих 15-летних сертификатов истекает начиная с июня 2026 года, что требует перехода на обновленные версии 2023 года для поддержания безопасности и функциональности системы ^[2][10][18].

Для большинства пользователей ожидается, что этот переход будет выполнен автоматически через Windows Update и обновления прошивки производителя ^[4][8]. Тем не менее, рекомендуется провести упреждающую проверку, чтобы убедиться, что ваше оборудование остается совместимым с будущими патчами безопасности и версиями ОС ^[13][14].

Ключевые выводы

• Сроки истечения: Оригинальные сертификаты Microsoft (KEK и DB) начинают истекать в июне 2026 года, остальные — в октябре 2026 года ^[1][10][16].
• Затронутые системы: Потенциально затронуты почти все устройства на базе Windows, выпущенные с 2012 года, включая как физическое оборудование, так и виртуальные машины ^[10][12][18].
• Риск безопасности: Отсутствие обновления может оставить устройства уязвимыми для вредоносных буткитов, таких как BlackLotus, и помешать установке будущих средств защиты ^[2][5][15].
• Автоматическое развертывание: Управляемые устройства Windows и те, что получают регулярные обновления, скорее всего, получат новые сертификаты без вмешательства пользователя ^[4][11][15].

---

Рекомендуемые действия

1. Обновляйте Windows: Убедитесь, что ваша система получает последние накопительные обновления, так как Microsoft использует их для доставки новых центров сертификации (CA) 2023 года ^[8][11][16].
2. Устанавливайте обновления прошивки: Проверьте сайт производителя вашего ПК или приложение поддержки на наличие обновлений BIOS/UEFI, так как они часто содержат необходимую базу для сертификатов ^[11][14][15].
3. Проверьте состояние Secure Boot: Используйте команду msinfo32, чтобы подтвердить, что Secure Boot включен («On»), чтобы ваше устройство могло получать и обрабатывать эти обновления ^[13].
4. Проверьте старое оборудование: Системам 2019 года выпуска или старше может потребоваться ручная проверка, чтобы подтвердить наличие достаточного объема памяти (NVRAM) для хранения новых сертификатов ^[4][14].

Примечание о рисках: Хотя ваш ПК, скорее всего, продолжит загружать существующее ПО после истечения срока действия сертификатов, он перейдет в «состояние сниженной безопасности», что со временем может помешать загрузке новых операционных систем или критических исправлений безопасности ^[4][15].

Основные источники (быстрые ссылки)

• Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog ^[1]
• Building a safer digital future, together ^[2]
• Windows' original Secure Boot certificates expire in June—here's wh... ^[3]

Предыстория / Основы

Secure Boot — это отраслевой стандарт безопасности, разработанный для того, чтобы компьютер запускался только с использованием программного обеспечения, которому доверяет производитель оригинального оборудования (OEM) ^[1][16]. Этот процесс начинается во время инициализации платформы, когда прошивка аутентифицирует определенные модули — включая драйверы UEFI, дополнительные ПЗУ (option ROM) и загрузчики — перед тем, как разрешить их выполнение ^[1][5]. Блокируя недоверенный или вредоносный код на этом самом раннем этапе, система значительно минимизирует риск сложных атак, таких как буткиты, которые трудно обнаружить стандартным антивирусным ПО ^[3][12].

Основой этого доверия является иерархия криптографических ключей и сертификатов, хранящихся непосредственно в прошивке устройства ^[1][9]. Эти компоненты действуют как цифровые «ключи», которые прошивка использует для проверки подписи любого программного обеспечения, пытающегося загрузиться ^[3][5]. Эта иерархия обычно включает следующие элементы:

• Ключ платформы (PK): Обычно принадлежит производителю оборудования, служит корнем доверия для всей системы ^[1][9].
• Ключ обмена ключами (KEK): Авторизует обновления баз данных подписей и часто включает ключи как от Microsoft, так и от OEM ^[1][6].
• База данных разрешенных подписей (DB): Содержит конкретные сертификаты и хэши для авторизованных загрузчиков и драйверов ^[1][18].
• База данных запрещенных подписей (DBX): Список отзыва, используемый для блокировки запуска известного вредоносного или уязвимого ПО ^[1][9].

---

Роль срока службы сертификатов

В индустрии принято, что сертификаты безопасности имеют фиксированный срок службы, чтобы криптографическая защита оставалась надежной с течением времени ^[3][5]. Эти сертификаты не вечны; они спроектированы так, чтобы их периодически обновляли, предотвращая превращение устаревших учетных данных в уязвимость ^[3]. Текущие данные показывают, что оригинальный набор сертификатов Secure Boot непрерывно использовался около 15 лет ^[3][16].

Поскольку у этих учетных данных есть даты истечения, их необходимо заменить до того, как они станут недействительными ^[2][12]. Ожидается, что основные сертификаты, выпущенные в 2011 году, начнут истекать в июне 2026 года ^[1][6]. Если эти «ключи» не будут обновлены до новых версий 2023 года до даты истечения, цепочка доверия может быть скомпрометирована, что потенциально лишит устройство возможности получать будущие исправления безопасности для процесса загрузки ^[1][8].

Объяснение проблемы

Инфраструктура Secure Boot, которая оставалась практически неизменной с момента выпуска Windows 8 в 2012 году, приближается к критической точке перехода ^[4][18]. Цифровые сертификаты, составляющие «корень доверия» для миллионов ПК, должны истечь, что положит начало поэтапному завершению жизненного цикла, влияющему на то, как устройства проверяют ПО во время последовательности запуска ^[12][15].

Начиная с июня 2026 года, оригинальные центры сертификации (CA), выпущенные в 2011 году, больше не будут действительны для подписания новых обновлений или компонентов ^[1][18]. Хотя это стандартная отраслевая практика для поддержания криптографической стойкости, масштаб этого конкретного обновления значителен, так как эти сертификаты были основой безопасности загрузки ПК в течение примерно 15 лет ^[8][12].

---

Что произойдет, когда срок действия сертификатов истечет?

Если устройство не перейдет на новые сертификаты образца 2023 года до крайнего срока, оно не перестанет внезапно работать. Отраслевая документация подтверждает, что затронутые ПК продолжат загружаться и запускать существующее ПО в обычном режиме ^[3][13]. Однако система переходит в состояние, описываемое как состояние сниженной безопасности ^[3][4].

В этом состоянии ожидается появление следующих проблем:

• Потеря патчей безопасности: Система потеряет возможность устанавливать новые обновления безопасности для диспетчера загрузки Windows (Windows Boot Manager) и других компонентов Secure Boot ^[1][18].
• Ошибки доверия: ПК может не доверять стороннему ПО, такому как драйверы оборудования или загрузчики, подписанные новыми сертификатами после июня 2026 года ^[1][9].
• Уязвимость перед угрозами: По мере обнаружения новых угроз на уровне загрузки, затронутые устройства останутся незащищенными, так как больше не смогут применять необходимые исправления или обновленные списки отзыва (DBX) ^[5][13].
• Риски совместимости: Со временем новые операционные системы или обновления прошивки могут не загрузиться, так как у оборудования больше не будет действительных ключей для их проверки ^[3][13].

---

Сравнение истекающих и новых сертификатов

Обновление включает замену трех основных сертификатов, хранящихся в переменных прошивки системы, в частности Key Exchange Key (KEK) и Signature Database (DB) ^[1][6].

Истекающий сертификат (2011)	Новый сертификат (2023)	Дата истечения	Место хранения
Microsoft Corporation KEK CA 2011	Microsoft Corporation KEK 2K CA 2023	Июнь 2026	KEK
Microsoft Corporation UEFI CA 2011	Microsoft UEFI CA 2023 / Option ROM CA 2023	Июнь 2026	DB
Microsoft Windows Production PCA 2011	Windows UEFI CA 2023	Октябрь 2026	DB

Примечание: Обновление сертификата UEFI CA 2011 фактически разделяется на два отдельных сертификата (UEFI CA 2023 и Option ROM CA 2023) для обеспечения более детального контроля над доверием в системе ^[2][15].

Угроза вредоносных буткитов

Основной риск отсутствия обновления — повышенная восприимчивость к буткитам, таким как BlackLotus UEFI bootkit ^[1]. Буткиты особенно опасны, так как они запускаются еще до старта операционной системы, что делает их обнаружение стандартными антивирусами трудным или невозможным ^[1][12].

Без действующих актуальных сертификатов система может оказаться неспособной обновить свою базу данных запрещенных подписей (DBX), которую Microsoft использует для блокировки известных вредоносных или скомпрометированных загрузчиков ^[5][15]. Это потенциально оставляет постоянную «открытую дверь» для сложных кибератак, нацеленных на самые ранние этапы запуска устройства ^[1][13].

Первопричины / Анализ

Предстоящее истечение срока действия сертификатов Secure Boot — это не технический сбой, а плановый переход системы безопасности. Поскольку Secure Boot работает на уровне прошивки, гарантируя выполнение только доверенного ПО при запуске, базовый «корень доверия» должен периодически обновляться для поддержания высоких стандартов безопасности ^[6][7].

1. Естественный жизненный цикл сертификатов

Цифровые сертификаты ограничены по времени намеренно, чтобы устаревшие криптографические данные не становились слабым местом в защите ^[7][12]. Оригинальные сертификаты, обеспечивающие работу экосистемы Secure Boot, были выпущены в 2011 году во время разработки Windows 8 ^[8][18]. После примерно 15 лет непрерывной службы эти сертификаты достигают конца своего планового жизненного цикла и должны истечь в период с июня по октябрь 2026 года ^[4][10][11].

2. Появление продвинутых буткитов

Современные киберугрозы значительно эволюционировали с момента установления стандартов 2011 года. Сложные вредоносные буткиты, такие как BlackLotus (CVE-2023-24932), продемонстрировали способность эксплуатировать уязвимости в раннем процессе загрузки, которые обычные антивирусы не могут легко обнаружить ^[1][16]. Переход на версии Центра сертификации (CA) 2023 года позволяет Microsoft и партнерам по оборудованию внедрять более надежные криптографические стандарты и детализированный контроль доверия ^[1][2][5].

3. Скоординированный отраслевой переход

Обновление цепочки сертификатов — это масштабная работа по обслуживанию, в которой участвуют Microsoft и производители оригинального оборудования (OEM) по всему миру ^[4][7]. Этот переход является скоординированным шагом партнеров по экосистеме, включая Dell, HP и Lenovo, по замене цепочки 2011 года новой цепочкой 2023 года: KEK CA 2023, UEFI CA 2023 и Windows UEFI CA 2023 ^[4][13]. Этот сдвиг призван гарантировать совместимость устройств с будущими обновлениями оборудования и ПО ^[3][9].

4. Отказ от устаревших стандартов

Существующие сертификаты 2011 года выводятся из обращения, так как они больше не могут поддерживать следующее поколение средств защиты ^[6][14]. Отраслевые эксперты полагают, что сохранение этих устаревающих стандартов оставило бы системы открытыми для новых уязвимостей по мере обнаружения угроз на уровне загрузки ^[6][9]. Отказываясь от версий 2011 года, индустрия стремится привести все поддерживаемые устройства Windows в соответствие с современными ожиданиями безопасности ^[7][18].

---

Характеристика	Сертификаты 2011 (Истекающие)	Сертификаты 2023 (Новые)
Внедрение	Windows 8 / Server 2012 [18]	Конец 2023 / 2024 [1][12]
Истечение	Июнь – октябрь 2026 [1][4]	Расширенный жизненный цикл (оценка 15+ лет)
Уровень доверия	Базовая подпись сторонних разработчиков [1]	Детализированный контроль (Option ROM vs. Bootloader) [2][5]
Статус риска	Уязвимы для современных буткитов [16]	Поддерживают новейшие средства защиты [6][12]

---

Доказательства и проверка реальности

Крупные поставщики оборудования и официальная документация Microsoft подтверждают, что этот переход является стандартной отраслевой практикой ^[7][12]. Отчеты таких производителей, как Dell и Lenovo, указывают на то, что они уже начали поставлять двойные сертификаты на новых платформах для обеспечения бесшовной передачи полномочий ^[11][13]. Официальное руководство Windows IT Pro подчеркивает, что эти обновления необходимы для предотвращения перехода систем в «состояние сниженной безопасности», когда они больше не могут получать критическую защиту на уровне загрузки ^[1][3][10].

Доказательства и проверка реальности

Официальная документация от Microsoft подтверждает, что оригинальные сертификаты Secure Boot, используемые с 2012 года, подходят к концу своего планового жизненного цикла ^[15][18]. Ожидается, что срок действия этих сертификатов начнет истекать в июне 2026 года, а полное истечение Windows Production PCA 2011 произойдет к октябрю 2026 года ^[4][16]. Для поддержания безопасности системы Microsoft официально объявила о развертывании сертификата Windows UEFI CA 2023 через стандартные обновления Windows ^[15][16].

В настоящее время ведется отраслевое сотрудничество для облегчения этого перехода на миллионах уникальных конфигураций оборудования ^[4][9]. Отчеты указывают на то, что Microsoft доставляет эти обновленные сертификаты в рамках регулярных ежемесячных обновлений для поддерживаемых устройств Windows ^[4][17]. Эти масштабные усилия по обслуживанию безопасности призваны гарантировать, что устройства смогут продолжать проверять доверенное загрузочное ПО и получать критические исправления безопасности для диспетчера загрузки Windows ^[4][16].

Крупные производители оборудования также выпустили специальные рекомендации и обновления прошивки для поддержки новых стандартов сертификатов:

Производитель	Предпринятые действия	Источник
MSI	Выпущены обновления BIOS, включающие Windows UEFI CA 2023; предоставлены пути ручного обновления реестра для ИТ-админов.	[28][29]
Dell	Опубликованы списки обновлений BIOS для конкретных платформ и проверена совместимость внутренних систем.	[26]
HP	Подтверждено, что обновления прошивки находятся в разработке для всех поддерживаемых ПК с Windows 11 для внедрения сертификатов 2023 года.	[15]

Многие устройства, выпущенные в 2024 году или позже, могут уже содержать обновленные сертификаты 2023 года в своей прошивке, что не требует дальнейших действий от пользователя ^[6][15]. Однако для старых систем интеграция этих ключей часто требует сочетания обновлений операционной системы и обновлений прошивки (BIOS) от производителя, чтобы оборудование могло распознать и сохранить новые криптографические ключи ^[1][11].

---

Примечание: Хотя Microsoft намерена управлять процессом обновления для значительной части устройств Windows автоматически, некоторым специализированным системам — таким как определенные конфигурации серверов или IoT — может потребоваться ручное вмешательство или индивидуальные планы развертывания ^[11][15].

Подход с поэтапным развертыванием основан на широком тестировании для минимизации возможных сбоев при загрузке ^[4][11]. Текущие данные свидетельствуют о том, что хотя устройства без сертификатов 2023 года продолжат работать нормально после крайнего срока в 2026 году, они потенциально потеряют возможность устанавливать новые средства защиты для раннего процесса загрузки, что сделает их уязвимыми для новых угроз, таких как вредоносные буткиты ^[15][16].

Самопроверка / Диагностика

Определение того, готова ли система к предстоящему истечению срока действия сертификатов Secure Boot, включает проверку текущего состояния загрузки и наличия обновленных сертификатов 2023 года. Выполнение этих шагов поможет определить, требуется ли устройству ручное вмешательство или обновление прошивки ^[3][15].

---

Шаг 1: Проверьте статус Secure Boot

Первое требование — убедиться, что Secure Boot активен. Если Secure Boot отключен, система не может обновить активные переменные сертификатов ^[10][13].

• Метод через интерфейс: Нажмите Windows + R, введите msinfo32 и нажмите Enter ^[3][10]. В окне Сведения о системе найдите пункт Состояние безопасной загрузки. Оно должно быть установлено в значение Вкл. (On) ^[3][10][18].
• Метод через PowerShell: Откройте PowerShell от имени администратора и введите Confirm-SecureBootUEFI ^[18]. Если команда возвращает True, Secure Boot включен ^[18].

Шаг 2: Проверьте наличие сертификатов 2023 года

После подтверждения активности Secure Boot необходимо проверить, присутствует ли сертификат Windows UEFI CA 2023 в базе данных подписей (db).

1. Нажмите правой кнопкой мыши на приложение PowerShell или Терминал и выберите Запуск от имени администратора ^[3].
2. Введите следующую команду: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') ^[2][3][6].
3. Проанализируйте результат:
   • True: Система использует новый сертификат и в целом считается готовой ^[3][6].
   • False: Система еще не получила или не применила обновленные сертификаты ^[3][6].

Шаг 3: Проверьте интеграцию в прошивку (BIOS)

Даже если команда на шаге 2 возвращает True, сертификаты могут храниться только в NVRAM, а не быть «вшиты» в прошивку оборудования ^[1][3]. Чтобы проверить, включает ли сам BIOS/UEFI новые сертификаты, выполните эту команду:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023') ^[2].

Если возвращается False, это нормально для старых ПК, но указывает на то, что может потребоваться обновление BIOS от производителя для окончательной интеграции сертификатов ^[1][2][3]. Новые системы, выпущенные с 2024 или 2025 года, обычно возвращают здесь True ^[2].

---

Шаг 4: Проверьте историю обновлений Windows

Microsoft интегрировала обновленные сертификаты UEFI CA в накопительные обновления для облегчения этого перехода ^[6]. Пользователям следует проверить историю обновлений на наличие конкретных патчей, выпущенных после июня 2025 года, таких как KB5062710 ^[6][8].

Успешная установка этого обновления (или более поздних накопительных версий) предназначена для автоматического развертывания сертификатов при условии, что прошивка системы поддерживает внедрение сертификатов и Secure Boot включен ^[6]. Если обновления установлены, но проверка PowerShell на шаге 2 все еще возвращает False, возможно, NVRAM системы заполнена или фрагментирована, что может потребовать сброса ключей Secure Boot к заводским настройкам в параметрах BIOS ^[1][3].

Внимание: Перед сбросом ключей Secure Boot в BIOS убедитесь, что у вас под рукой есть ключ восстановления BitLocker, так как этот процесс может вызвать запрос на восстановление ^[2][3].

Решения / Что делать

Процесс обновления сертификатов Secure Boot различается в зависимости от того, являетесь ли вы домашним пользователем или управляете парком корпоративных устройств. Для большинства современных систем ожидается, что эти обновления произойдут автоматически в рамках стандартных циклов обслуживания ^[6][10].

---

Шаги для обычных пользователей

Для большинства пользователей самый простой путь к поддержанию безопасности системы — обеспечение актуальности операционной системы. Microsoft обычно управляет процессом обновления сертификатов для значительной части устройств Windows автоматически ^[10][12].

• Включите автоматические обновления: Убедитесь, что Windows Update активен. Многие устройства получат обновленные сертификаты в составе регулярного ежемесячного процесса обновления без каких-либо дополнительных действий ^[6][16].
• Проверяйте необязательные обновления: Периодически проверяйте раздел «Необязательные обновления» в меню Windows Update. Некоторым системам могут потребоваться специфические обновления прошивки или «драйверов» для поддержки новой базы данных сертификатов ^[15].
• Проверяйте обновления BIOS/UEFI: Посетите страницу поддержки производителя вашего ПК (OEM) для поиска последних обновлений BIOS или UEFI. Обновленная прошивка часто является основой для корректного принятия новых сертификатов Secure Boot ^[16][17].
• Следите за приложением «Безопасность Windows»: В ближайшие месяцы ожидается, что приложение Безопасность Windows будет выводить сообщения о статусе обновления сертификатов, чтобы помочь пользователям отслеживать прогресс ^[6].

Внимание: Если вы решите вручную сбросить ключи Secure Boot в BIOS, чтобы освободить место для новых сертификатов, убедитесь, что у вас есть ключ восстановления BitLocker. Невыполнение этого требования может привести к потере доступа к данным ^[1][3].

---

Продвинутые решения

Если устройство не обновляется автоматически или возвращает значение false при проверке сертификата Windows UEFI CA 2023, может потребоваться ручное вмешательство ^[3].

1. Ручная проверка через PowerShell

Чтобы определить, использует ли ваша система уже новые сертификаты, запустите PowerShell от имени администратора и используйте следующую команду: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Если возвращается True, активная база данных обновлена ^[1][3]. Чтобы проверить, «вшиты» ли сертификаты в прошивку (что позволяет им сохраняться даже после сброса BIOS), замените db на dbdefault в команде ^[3].

2. Специализированные инструменты развертывания

ИТ-специалисты могут использовать CLI Windows Configuration System (WinCS) или Microsoft Intune для принудительного развертывания сертификатов ^[17][20].

Метод	Целевая аудитория	Требование
Microsoft Intune	Управляемые организации	Пользовательские скрипты соответствия [9][17]
WinCS CLI	Продвинутые пользователи/ИТ	Инструмент WinCsFlags.exe [13][20]
Ключи реестра	Опытные пользователи	Ключ MicrosoftUpdateManagedOptIn [15][16]
Групповая политика	Администраторы домена	Развертывание в масштабах предприятия [11][17]

3. Очистка NVRAM

На старых ПК (выпущенных около 2019–2020 гг.) хранилище NVRAM может быть заполнено или фрагментировано, что препятствует сохранению новых сертификатов ^[3][4]. В таких случаях выполнение «сброса к заводским настройкам» ключей Secure Boot в настройках BIOS может помочь обеспечить достаточное свободное место для сертификатов 2023 года ^[1][3].

Риски и ограничения

Ручные манипуляции с сертификатами сопряжены с рисками. Хотя эти обновления призваны улучшить «корень доверия», неправильная реализация может привести к сбоям загрузки ^[12][15].

• Совместимость загрузки: Если сертификаты обновлены, но диспетчер загрузки Windows не согласован с ними должным образом, система может перестать доверять загрузчику ^[10][16].
• Неподдерживаемое оборудование: Старые системы (до 2019 года) могут не получать обновления прошивки от производителей, что потенциально ограничит их способность получать исправления безопасности для диспетчера загрузки к октябрю 2026 года ^[3][16].
• Диагностические данные: Для корпоративных систем автоматизированное управление Microsoft часто требует включения диагностических данных уровня «Обязательные». Если брандмауэры блокируют эти данные, автоматическое обновление может не сработать ^[7][16].

Эксперты советуют: если система функционирует правильно и отображается как «обновленная» в реестре или PowerShell, пользователям следует избегать дальнейших ручных изменений переменных Secure Boot ^[17][20].

Риски, ограничения и когда стоит остановиться

Хотя обновление сертификатов Secure Boot необходимо для долгосрочной безопасности, процесс включает изменение чувствительных переменных прошивки. При неправильном подходе эти обновления могут привести к нестабильности системы или невозможности загрузки ^[11][12].

Критические риски ручного вмешательства

Ручное вмешательство в переменные UEFI или настройки Secure Boot несет значительные риски. Отключение Secure Boot или его сброс к значениям по умолчанию может стереть обновленные сертификаты 2023 года, потенциально заменив их просроченными версиями 2011 года, хранящимися в заводской прошивке ^[14][16].

На некоторых устройствах выбор таких опций, как Expert Key Mode в BIOS, может полностью стереть активные переменные ^[14]. Кроме того, если включено шифрование BitLocker, любое изменение состояния Secure Boot, скорее всего, вызовет запрос ключа восстановления ^[6][14]. Без этого ключа доступ к данным может быть потерян навсегда ^[6].

Ограничения оборудования и прошивки

Не каждая система может беспрепятственно принять эти обновления. Технические ограничения, которые могут помешать процессу, включают:

• Заполненная NVRAM: Системы на базе UEFI используют небольшой объем NVRAM для хранения переменных. Если это хранилище заполнено или фрагментировано, новые сертификаты не могут быть сохранены ^[3].
• Ошибки в прошивке: Некоторые старые или необновленные версии BIOS/UEFI могут содержать ошибки, препятствующие приему сертификатов от Windows ^[3][17].
• Несовместимость: Системы, выпущенные до 2012 года, обычно не поддерживают эти специфические обновления Secure Boot, так как они могут не содержать оригинальных сертификатов 2011 года, необходимых для перехода ^[1][18].

Сценарий	Потенциальное последствие	Рекомендуемое действие
NVRAM заполнена	Обновление не применяется	Очистите старые ключи Secure Boot в BIOS (требуется ключ BitLocker) [3][6]
Переключение Secure Boot	Стирает сертификаты 2023 года	Оставьте Secure Boot включенным, если он уже в состоянии «On» [14][16]
Event ID 1795	Ошибка передачи прошивки	Сначала проверьте наличие обновлений прошивки/BIOS от OEM [17]

---

Когда стоит остановиться и обратиться к специалисту

Обычно рекомендуется прекратить самостоятельный поиск неисправностей и обратиться за профессиональной помощью в следующих случаях:

1. Циклы восстановления: Если система переходит в режим «Подготовка автоматического восстановления» или цикл восстановления BitLocker сразу после обновления BIOS или изменения сертификата ^[14][17].
2. Незнакомый интерфейс: Если интерфейс BIOS/UEFI вам незнаком, так как выбор неправильной настройки «Key Management» может сделать ОС незагружаемой ^[14].
3. Постоянные ошибки реестра: Если ключ реестра AvailableUpdates не очищает бит 0x0004 после нескольких перезагрузок, что указывает на зависание обновления Key Exchange Key (KEK) ^[10][17].
4. Изолированные системы (Air-Gapped): Поскольку Microsoft не может управлять обновлениями для систем без доступа к сети или в строго ограниченных средах, такие системы часто требуют специализированных стратегий ручного развертывания ^[13][16].

Внимание: Попытка принудительного обновления сертификата на системе с «забагованной» прошивкой может привести к сценарию «No Boot» (отсутствие загрузки), что может потребовать физической перепрошивки чипа BIOS или замены материнской платы ^[3][14].

FAQ

Перестанет ли мой ПК работать в июне 2026 года?

Нет, ожидается, что ваш компьютер продолжит загружаться и функционировать в обычном режиме после истечения срока действия сертификатов Secure Boot 2011 года ^[4][15][26]. Однако, если сертификаты не будут обновлены, устройство перейдет в состояние сниженной безопасности ^[10][15]. Это означает, что оно может перестать получать критические обновления безопасности для диспетчера загрузки Windows или других компонентов ранней загрузки, что потенциально сделает его уязвимым для новых угроз ^[15][18]. Со временем вы также можете столкнуться с проблемами совместимости с новым оборудованием, прошивками или версиями ОС, для загрузки которых требуются сертификаты 2023 года ^[4][10].

---

Затрагивает ли это Windows 10?

Да, этот переход затрагивает устройства с Windows 10, но доступность обновлений зависит от вашей конкретной версии и статуса поддержки ^[4][26]. Microsoft указала, что предоставит новые сертификаты 2023 года для Windows 10 LTSC 2021 и для устройств с активной лицензией Extended Security Updates (ESU) ^[26][27]. Стандартные версии Windows 10, срок поддержки которых истек, обычно не получают эти обновления через Windows Update, что со временем может ограничить их способность получать защиту на уровне загрузки ^[4].

---

Могу ли я просто отключить Secure Boot?

Хотя это технически возможно, отключать Secure Boot обычно не рекомендуется, так как это значительно повышает риск заражения вредоносными буткитами, такими как BlackLotus UEFI bootkit ^[16][18]. Кроме того, отключение Secure Boot или изменение определенных настроек BIOS иногда может стереть активные переменные сертификатов, что потребует ввода ключа восстановления BitLocker для доступа к вашим данным ^[26][27]. Многие современные приложения и ПО, зависящее от безопасности, также могут не загружаться или работать некорректно, если Secure Boot отключен ^[4][10].

---

Как узнать, были ли обновлены мои сертификаты?

Ожидается, что большинство устройств Windows получат эти обновления сертификатов автоматически через стандартный процесс Windows Update ^[15][16]. Вы можете проверить статус сертификатов, запустив специальные команды PowerShell для поиска Microsoft Corporation KEK 2K CA 2023 или Windows UEFI CA 2023 ^[26][27]. Если эти версии 2023 года присутствуют в переменных прошивки вашей системы, никаких дополнительных действий обычно не требуется ^[26].

---

Платные ли эти новые сертификаты?

Прямой платы за получение обновленных сертификатов через Windows Update для поддерживаемых систем нет ^[26][27]. Центры сертификации (CA) 2023 года также предоставляются Microsoft бесплатно для ручного управления ^[26]. Однако, если срок официального обслуживания вашего устройства истек и для поддержки новой цепочки сертификатов требуется ручное обновление BIOS, некоторые пользователи могут понести расходы, связанные с профессиональным обслуживанием или соглашениями о поддержке ^[26][27].

Резюме / Ключевые моменты

Переход от сертификатов Secure Boot 2011 года к новым версиям 2023 года является критическим обновлением безопасности для глобальной экосистемы Windows ^[11][13]. Большинство современных систем полагаются на эти цифровые подписи для проверки целостности процесса загрузки перед запуском операционной системы ^[11][16].

• Жесткие сроки: Оригинальные сертификаты Microsoft начинают истекать в июне 2026 года, а последние компоненты — в октябре 2026 года ^[13][15][18].
• Влияние на безопасность: Хотя затронутые ПК, скорее всего, продолжат загружаться, они перейдут в состояние сниженной безопасности ^[3][4]. Эти системы потеряют возможность получать критические исправления безопасности для диспетчера загрузки Windows, что сделает их потенциально уязвимыми для буткитов, таких как BlackLotus ^[1][16][26].
• Автоматические обновления: Большинство пользователей, разрешающих Microsoft управлять обновлениями, получат новые сертификаты автоматически через стандартные циклы накопительных обновлений ^[2][14][15].
• Требуемые действия: Рекомендуется убедиться, что Secure Boot включен (проверить через msinfo32), и установить все доступные обновления прошивки OEM, так как они часто обеспечивают необходимую базу для обновления сертификатов ^[7][16][27].

---

Сертификат	Дата истечения	Новая версия
Microsoft Corporation KEK CA 2011	Июнь 2026	Microsoft Corporation KEK 2K CA 2023 [16][18]
Microsoft UEFI CA 2011	Июнь 2026	Microsoft UEFI CA 2023 [15][18]
Microsoft Windows Production PCA 2011	Октябрь 2026	Windows UEFI CA 2023 [1][15]

Если вы не уверены, обычно дешевле спросить специалиста один раз, чем исправлять ошибку позже.

Источники

^[1] Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog

^[2] Building a safer digital future, together

^[3] Windows' original Secure Boot certificates expire in June—here's wh...

^[4] Refreshing the root of trust: industry collaboration on Secure Boot certifica...

^[5] builders.intel.com

^[6] Introduction to Key Usage in Integrated Firmware Images

^[7] cdrdv2-public.intel.com

^[8] cdrdv2-public.intel.com

^[9] Firmware Interface Table Introduction - 1.6 - ID:599500 | Firmware Interface ...

^[10] INTEL-SA-00127

^[11] Intel® CSE Secure Boot (Type 0x10) Rules - 1.2 - ID:599500 | Firmware In...

^[12] Configuring Secure Boot — Intel® software for general purpose GPU capab...

^[13] community.intel.com

^[14] System Setup Guide — Intel® software for general purpose GPU capabiliti...

^[15] Windows Secure Boot certificate expiration and CA updates - Microsoft Support

^[16] Act now: Secure Boot certificates expire in June 2026 - Windows IT Pro Blog

^[17] Secure Boot playbook for certificates expiring in 2026

^[18] Secure Boot Certificate updates: Guidance for IT professionals and organizati...

^[19] How to verify the Windows Secure boot certificates have been updated. - Micro...

^[20] Secure Boot certificates have been updated but are not yet applied - Microsof...

^[21] Enable Secure Boot to protect systems from UEFI rootkit ‘CosmicStrand’ | Secu...

^[22] ASPEED AST2400 & AST2500 Security Vunerabilities (CVE-2019-6260) | Security &...

^[23] Offizieller Support | ASUS Deutschland

^[24] Offizieller Support | ASUS Deutschland

^[25] zentalk.asus.com

^[26] Secure Boot Transition FAQ | Dell US

^[27] Secure Boot Transition FAQ | Dell UK

^[28] MSI France

^[29] MSI Latinoamérica

^[30] How to Enable Secure Boot and TPM 2.0 on MSI AM4 Motherboards

^[31] storage-asset.msi.com

^[32] MSI USA

^[33] Enforcement of laws against polluters nearly non-existent in US, analysis finds

^[34] Windows 11 KB5077181 & KB5075941 cumulative updates released

^[35] Microsoft releases Windows 10 KB5075912 extended security update

^[36] Microsoft's February Patch fixes 6 zero-days - but some Windows users sh...

^[37] Microsoft rolls out new Secure Boot certificates before June expiration

^[38] Your PC's critical security certificates may be about to expire - how to...

^[39] February's Windows 11 update is causing startup problems for users

^[40] Microsoft warns Secure Boot certificates will expire soon — what to expect

^[41] Windows Secure Boot Certificates From 2011 Will Be Expiring Soon. What You Ne...

^[42] Microsoft is keeping Secure Boot alive with Windows updates

^[43] Microsoft is refreshing Secure Boot certificates to plug security holes befor...

^[44] Endlos-Neustarts: Neues Windows 11 Update legt Rechner lahm

^[45] Critical Microsoft bug from 2024 under exploitation

^[46] You

^[47] Microsoft is giving Windows 11’s security settings a big makeover

^[48] Windows 11 brings back classic taskbar features and users have thoughts

^[49] Windows 11 Notepad flaw let files execute silently via Markdown links

^[50] CISA flags critical Microsoft SCCM flaw as exploited in attacks

^[51] California's CCPA New Cybersecurity Audit Rules: Applicability Threshold...

^[52] Nancy Guthrie Abduction: Potential Subject Pic to Be Released by Law Enforcement

^[53] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It

^[54] DHS has no immediate plans for sweeping city-specific immigration enforcement...

^[55] FAA steps up enforcement against reckless drone pilots

^[56] Microsoft Refreshes Secure Boot Certificates via Windows Update

^[57] Microsoft Patches Six Zero-Days, Two Critical Flaws

^[58] Windows 11 February 2026 Patch: KB5077181 and KB5075941 fix zero-days, shutdo...

^[59] Windows 10 users warned to upgrade now or risk a ‘degraded security sta...

^[60] Verify Windows UEFI CA 2023 Certificate with PowerShell

^[61] How to check if Windows 11 has applied the new Secure Boot 2023 certificates ...

^[62] Verify Windows 11’s New 2023 Secure Boot Certificates Installation

^[63] Windows Secure Boot 2026: Microsoft issues final warning over expiring certif...

^[64] Microsoft begins Secure Boot certificate update for Windows devices - Help Ne...

^[65] Microsoft Secure Boot Updates: New Certificates Coming Soon - Weidemann.tech

^[66] Windows 11 24H2/25H2: Update KB5077181 verursacht Boot-Schleife

^[67] PC Secure Boot Certificates Near Expiration: Check Now

^[68] Microsoft sets 2026 deadline for Secure Boot certificate expiration

^[69] Windows 11 adds a new secure mode that blocks sketchy apps and drivers

^[70] Windows 11 26H1 Latest Build – Technical Deep Dive into OS Build 28000.1575

^[71] Microsoft wants Windows 11 “secure by default," could allow only properl...

^[72] Alarm: Ihr Windows-PC bekommt ab Sommer echte Probleme – der Grund

^[73] Windows 11 Update KB5077181 verursacht Startprobleme: Das können Sie tun

^[74] Selbst prüfen: Hat Windows 11 die neuen Secure-Boot-Zertifikate bereits angew...

^[75] Windows-11-Februar-Update kann für Bootschleife sorgen

^[76] Windows Secure Boot Certificates Issued in 2011 Begin Expiring in June 2026

^[77] Microsoft Security Update Summary (10. Februar 2026)

^[78] Patchday: Windows 10/11 Updates (10. Februar 2026)

^[79] Exchange Server Sicherheitsupdates Februar 2026

^[80] KB5077181 Windows 11 25H2 / 24H2 [Manueller Download] Sicherheitsupdate Febru...

^[81] Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?

^[82] Windows 11 Update KB5077181 - DAP IT-Solutions GmbH

^[83] KB5075941 - Details, Issues, & Feedback - NinjaOne

^[84] Microsoft veröffentlicht Februar-Sicherheitsupdates mit sechs aktiv ausgenutz...

^[85] Windows 11 Februar-Update 2026: KB5077181 liefert Sicherheitsupdates, WLAN-Re...

^[86] Windows 11 February Update Triggers Startup Issues for Users

^[87] KB5077800 - Details, Issues, & Feedback - NinjaOne

^[88] Windows 11 Update KB5077181 Security and AI Features for 24H2 and 25H2 Versio...

^[89] Many Reddit users hit with "network security" block error on posts

^[90] Microsoft Patches Six Actively Exploited Windows 11 Zero-Day Vulnerabilities

^[91] Microsoft to Roll Out New Secure Boot Certificates to Keep Old Windows PCs Se...

^[92] Microsoft to Refresh Secure Boot Certificates for Windows 11 and 10 in March

^[93] Windows 10 : attention, votre PC pourrait devenir vulnérable si vous ratez ce...

^[94] windows event logs cheat sheet

^[95] How to Check If Your PC Has the New 2023 Secure Boot Certificates (Before Jun...

^[96] How To Access BIOS MSI Motherboard? - AEANET

^[97] OpenCore-and-UEFI-Secure-Boot/guide/Windows UEFI CA 2023.md at main · perez98...

^[98] Fortnite To Require Additional PC Security Features

^[99] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It - S...

^[100] Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red...

^[101] Enable Secure Boot: Fix Secure Boot certificates expiration - TechDirectArchive

^[102] This free Windows 11 debloating script makes every PC better

^[103] Windows 11 has a hidden "Cross-Device Resume" feature most people d...

^[104] Secure Boot certificate changes in 2026: Guidance for RHEL environments | Red...

^[105] This app is Microsoft's apology to power users

^[106] From Trust to Trouble: The Supply Chain Implications of a Broken DBX

^[107] Was passiert, wenn die Secure Boot-Zertifikate unter Windows 11 und Windows 1...

^[108] Windows Patch Tuesday: Notepad RCE Fix, Secure Boot Update & Taskbar Prot...

^[109] SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass - Ubuntu Wiki

^[110] MOK Manager: what it is, what it

^[111] media.defense.gov

^[112] Chapter 22. Updating the Secure Boot Revocation List | Managing, monitoring, ...

^[113] Secure Boot: Enhancing Linux Security from Firmware to Kernel

^[114] Unified Extensible Firmware Interface/Secure Boot - ArchWiki

^[115] The Perils of Updating UEFI Secure Boot Revocation List

^[116] Thoughts dereferenced from the scratchpad noise. | Automating Firmware Secur...

^[117] GRUB2 Secure Boot Bypass 2021 | Ubuntu

^[118] How to boot Linux using UEFI with Secure Boot ? — Get Intimate With Cyb...

^[119] MSI Global English Forum

^[120] MSI Global English Forum

^[121] MSI Endanwender-Forum DE

^[122] Updating Windows Boot Manager and WinPE with the Windows UEFI CA 2023 Certifi...

^[123] media.defense.gov

^[124] XFN 1.1 profile

^[125] fonts.googleapis.com

^[126] BleepingComputer (@[email protected]) - Infosec Exchange

^[127] Windows Central

^[128] Windows Central (@WindowsCentral) on Flipboard

^[129] Windows Central (@windowscentral.com)