Функція Secure Boot захищає сучасні комп’ютери на Windows та Linux від шкідливого програмного забезпечення під час завантаження системи. Проте сертифікати безпеки Microsoft Secure Boot, випущені 2011 року, втратять чинність у червні 2026 року. Більшість власників ПК захищені, якщо встановлюють останні оновлення, але деяким користувачам знадобляться додаткові дії.
Нова загроза після завершення підтримки Windows 10
Минулорічний дедлайн завершення підтримки Windows 10 став серйозним випробуванням для споживачів та ІТ-фахівців. Добра новина — усі впоралися. Погана — попереду чекає ще одна критична дата закінчення терміну дії.
Кожен комп’ютер на Windows, розроблений та виготовлений після 2011 року, підтримує функцію Secure Boot. Ця функція, увімкнена за замовчуванням на нових ПК із Windows 10 та Windows 11, діє як сторож, дозволяючи запускатися під час завантаження лише довіреному програмному забезпеченню. Якщо хтось намагається втрутитися в операційну систему або завантажитися з альтернативного пристрою, Secure Boot блокує таку спробу.
Усі поточні версії Windows підтримують Secure Boot, як і дедалі більша кількість дистрибутивів Linux, зокрема Ubuntu, Fedora, Linux Mint, OpenSUSE та багато інших.
Як працює Secure Boot
Secure Boot покладається на ланцюг криптографічних сертифікатів, які перевіряють кожен компонент завантаження на предмет належного підпису. Один із найважливіших сертифікатів — це ключ обміну ключами (Key Exchange Key, KEK), який зберігається у прошивці UEFI та працює разом із модулем довіреної платформи (Trusted Platform Module, TPM) для керування списком довірених завантажувачів. Ці завантажувачі містяться в базі даних дозволених підписів (Allowed Signature Database, DB) та базі даних заборонених підписів (Forbidden Signature Database, DBX). Сертифікати центру сертифікації Microsoft Production Certificate Authority (CA) та UEFI CA також є критично важливими для роботи Secure Boot і теж потребують оновлення.
Якщо ви купили комп’ютер протягом останніх 15 років, він майже напевно містить випущені Microsoft сертифікати KEK та UEFI CA 2011 року, термін дії яких завершується в червні 2026 року. Щоб оновити ці сертифікати, потрібен доступ до кореня довіри — Platform Key, яким керує виробник обладнання (OEM).
Що станеться після закінчення терміну дії
Коли сертифікати Secure Boot втратять чинність, вони більше не зможуть підтверджувати програмне забезпечення для завантаження, а це означає, що встановлена операційна система відмовиться запускатися. Ви можете вимкнути Secure Boot, але це означає, що ви не зможете отримати доступ до дисків, зашифрованих за допомогою BitLocker.
2023 року Microsoft випустив заміни для цих сертифікатів Secure Boot. Але вся суть моделі сертифікатів Secure Boot полягає в тому, що ці сертифікати нелегко замінити — якби це було просто, кожен розробник зловмисного програмного забезпечення у світі зосередив би зусилля саме на цьому, створюючи шкідливі руткіти, які запускаються під час завантаження й не можуть бути легко виявлені.
Глобальна кампанія оновлення
Щоб підготуватися до цього масового «вимирання» сертифікатів, Microsoft та її апаратні партнери працювали протягом кількох років, координуючи глобальну серію оновлень, призначених для заміни застарілих сертифікатів версією 2023 року. Microsoft задокументував прогрес у новій публікації в блозі:
«Наші партнери з екосистеми відіграють критичну роль у переході на нові сертифікати Secure Boot. OEM-виробники встановлюють оновлені сертифікати на нових пристроях, і багато новіших ПК, виготовлених з 2024 року, а також майже всі пристрої, відвантажені 2025 року, вже містять сертифікати й не вимагають дій від клієнтів. OEM-партнери також тісно співпрацювали з нашими інженерними командами, щоб забезпечити безперебійне застосування оновлень на пристроях, що вже є на ринку, та надали власні рекомендації для допомоги клієнтам у підготовці до переходу».
Завдяки цим спільним зусиллям ви можете незабаром побачити оновлення прошивки, яке перенесе ядро безпеки вашого комп’ютера в сучасну еру, відсунувши дати закінчення терміну дії сертифікатів ще на десятиліття або більше.
Для більшості людей цей процес має бути непомітним. Можливо, ви вже встановили необхідні оновлення, навіть не усвідомлюючи цього.
Поширені запитання та відповіді
Чому ці сертифікати втрачають чинність?
П’ятнадцять років — це довгий час. Стандарти безпеки значно розвиваються щороку, і цілком нормально виводити старі сертифікати з експлуатації та замінювати їх новими, які відповідають сучасним стандартам безпеки, замість того щоб стати точкою вразливості.
Чи має мій ПК сертифікати Secure Boot, термін дії яких закінчується?
Якщо ваш комп’ютер розроблений та виготовлений після 2011 року, він містить сертифікати Secure Boot. Будь-який пристрій, розроблений та виготовлений до 2024 року, ймовірно, має сертифікат 2011 року, термін дії якого незабаром закінчиться.
За даними Microsoft, OEM-партнери встановлюють оновлені сертифікати на нових пристроях з 2024 року. Якщо у вас відносно новий пристрій, він, ймовірно, вже містить останні сертифікати. Copilot+ ПК, виготовлені 2025 року або пізніше, вже містять сертифікати 2023 року й не потребують оновлення.
Як перевірити, чи має ваш ПК оновлені сертифікати:
Відкрийте вікно PowerShell з правами адміністратора та виконайте таку команду:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Якщо відповідь True — ви в безпеці. Якщо відповідь False — вам потрібне оновлення прошивки.
Чи отримаю я оновлений сертифікат автоматично?
Якщо ваш ПК розроблений та виготовлений великим OEM-виробником (Lenovo, HP, Dell, ASUS, Surface), і ви використовуєте підтримувану версію Windows, ви маєте отримати необхідне оновлення автоматично.
За словами Microsoft, «для більшості фізичних осіб та компаній, які дозволяють Microsoft керувати оновленнями ПК, нові сертифікати будуть встановлені автоматично через регулярний щомісячний процес оновлення Windows без додаткових дій».
Ці оновлення надійдуть на майже всі ПК під керуванням Windows 11 та на ПК під керуванням Windows 10 із передплатою на розширені оновлення безпеки (Extended Security Updates). Можливо, вам знадобиться окреме оновлення прошивки від виробника ПК, щоб дозволити встановлення оновлених сертифікатів.
Microsoft повідомляє, що надсилатиме повідомлення про статус оновлення сертифікатів у програмі «Безпека Windows».
Для спеціалізованих комп’ютерів, таких як сервери та пристрої IoT, вам може знадобитися завантажити та встановити оновлення від виробника пристрою.
Що станеться, якщо я не оновлю ці сертифікати?
За словами Microsoft, «коли центри сертифікації 2011 року втратять чинність, пристрої Windows, які не мають нових сертифікатів 2023 року, більше не зможуть отримувати виправлення безпеки для компонентів попереднього завантаження, що поставить під загрозу безпеку завантаження Windows. Без оновлень пристрої Windows із увімкненим Secure Boot ризикують не отримувати оновлення безпеки або довіряти новим завантажувачам, що поставить під загрозу як можливість обслуговування, так і безпеку».
У мене Mac. Чи потрібно мені хвилюватися про це?
Ні.
У мене ПК на Linux. Чи потрібно мені хвилюватися про це?
Якщо ви використовуєте подвійне завантаження Linux разом із Windows, Microsoft оновить сертифікати, на які покладається Linux.
Якщо ви повністю видалили Windows, можливо, ви не отримаєте останні оновлення безпеки автоматично. Ви можете зв’язатися з компанією, яка виготовила ваш ПК, щоб дізнатися, чи є ручне оновлення, або можете вимкнути Secure Boot. Окрім червоного замка на екрані завантаження, все інше працюватиме як очікується.
Я зібрав свій ПК сам. Де мої оновлення?
Зверніться до компанії, яка виготовила вашу материнську плату. Можливо, є оновлення, але залежно від віку вашого ПК, виробник материнської плати може не пропонувати його. Ви можете вимкнути Secure Boot, і Windows все одно запуститься. Якщо у вас увімкнене шифрування BitLocker, можливо, вам доведеться надати ключ відновлення для доступу до даних на цьому диску.
Де я можу отримати додаткову інформацію або допомогу?
Офіційна сторінка FAQ від Microsoft: Secure Boot Certificate Update FAQ. Якщо ви зіткнулися з проблемами на некерованому ПК удома або в малому офісі, зверніться до виробника ПК або до служби підтримки Microsoft. Адміністратори підприємств можуть використовувати канали комерційної підтримки.
