П рез юни 2026 г. един от основните елементи на съвременната компютърна сигурност ще достигне края на жизнения си цикъл. Оригиналните сертификати за Secure Boot, които управляват хардуерното удостоверяване в екосистемата на Windows от 2011 г. насам, официално изтичат, според Windows Latest.
Какво е Secure Boot и защо ключовете се променят?
Secure Boot е стандартна за индустрията функция за сигурност, която гарантира, че при стартиране на компютъра се зарежда само надежден софтуер, одобрен от производителя на хардуер (OEM).
Системата е базирана на строга йерархия от цифрови ключове, съхранявани във фърмуера на дънната платка. Тя проверява подписите на драйвери, EFI приложения и bootloader-а на операционната система спрямо специална база данни (DB), както и проверява черен списък с компрометиран софтуер (DBX).
Първите сертификати бяха вградени във фърмуера през 2011 г. с 15-годишен срок на валидност. През юни 2026 г. тяхната криптографска валидност изтича.
За да се поддържа веригата на доверие, операционната система трябва да инсталира нови сертификати „Windows UEFI CA 2023“ в UEFI, след което Windows ще започне да използва буутлоудър, подписан с актуализирани ключове.
Какво се случва, ако пренебрегнете крайния срок юни 2026 г.?
Инженерите на Microsoft уверяват потребителите, че ако компютърът не получи актуализирани сертификати до крайния срок, той няма да се превърне в „тухла“ и ще продължи да се стартира нормално. Системната сигурност обаче постепенно ще се влоши.
Първо, критичните актуализации на буутлоудъра ще спрат. Microsoft вече няма да може да подписва ниско ниво на корекции със стария ключ 2011, което означава, че устройствата без сертификатите 2023 ще спрат да получават корекции за сигурност, свързани със зареждането.
⚠️ Windows Server 2016 Domain Controller May Fail with 15-Character Hostname
— Cyber Security News (@The_Cyber_News) May 26, 2026
Source: https://t.co/jzXHVlGWOo
Windows administrators are facing a disruptive bug in Windows Server 2016 following Microsoft's May 12, 2026, security update KB5087537.
The update introduced a… pic.twitter.com/IRMQuTrFDx
Второ, системите ще станат по-уязвими към руткитове – вид скрит зловреден софтуер, който получава администраторски права и се прикрива заедно с друг зловреден софтуер. Устройствата също ще спрат да получават актуализации на DBX, което ще ги направи изложени на нови атаки преди зареждане.
Освен това, бъдещите версии на Windows може вече да не се инсталират на системи без актуализирани ключове, което ефективно блокира надстройките.
Инсталация и съвместимост с BitLocker
Процесът на актуализиране се доставя автоматично чрез Windows Update (LCU) и контролирано внедряване на функции (CFR).
Потребителите може да забележат няколко рестартирания по време на инсталацията – това е очаквано поведение, тъй като системата подготвя, активира и прилага нови сертификати в UEFI, преди да се рестартира в актуализиран буутлоудър.
Microsoft потвърждава пълната съвместимост с криптирането BitLocker и Virtual Secure Mode (VSM).
Няма нужда ръчно да се спира криптирането на диска — системата автоматично преназначава ключове за достъп по време на рестартиране. Въпреки това, на по-стари BIOS системи или устройства с деактивирано Secure Boot, актуализацията ще бъде пропусната, за да се избегне повреда на зареждащия механизъм.
Как да проверите състоянието на Secure Boot на вашия компютър.
Започвайки с последните актуализации на Windows 11, потребителите могат да проверяват готовността ръчно чрез: Защита на Windows, Защита на устройството, Secure Boot.
Системата показва едно от три състояния:
- Зелена отметка: всички сертификати са актуализирани и компютърът е готов за крайния срок.
- Жълто предупреждение: нови ключове са доставени, но все още не са записани във фърмуера (често се очаква рестартиране).
- Червена икона за стоп: актуализацията е блокирана поради несъвместимост или ограничения на дънната платка, с предоставени инструкции за BIOS.
За корпоративни мрежи Microsoft препоръчва да се избягва масово внедряване на ключови актуализации и вместо това първо да се тестват на малки групи устройства, поради потенциални конфликти, специфични за производителите на оригинално оборудване (OEM).
Следващата планирана актуализация на коренния сертификат се очаква през 2038 г., когато се очаква индустрията да започне преход към постквантова криптография.
