У червні 2026 року закінчується термін дії одного з основних елементів безпеки сучасних комп’ютерів. Оригінальні сертифікати безпечного завантаження Secure Boot, які забезпечували аутентифікацію апаратного забезпечення в екосистемі Windows з 2011 року, офіційно втрачають свою силу.
Що таке Secure Boot і чому змінюються ключі?
Secure Boot (Безпечне завантаження) – це галузевий стандарт захисту, який гарантує, що під час включення комп’ютера завантажується лише довірене програмне забезпечення, схвалене виробником обладнання (OEM).
Система функціонує на основі суворої ієрархії цифрових ключів у прошивці материнської плати. Вона перевіряє підписи драйверів, EFI-додатків і завантажувача ОС зі спеціальною базою даних (DB), а також аналізує “чорний список” скомпрометованих програм (DBX).
Перші сертифікати були закладені в прошивки ще в 2011 році терміном на 15 років. У червні 2026 року їх криптографічна дія завершиться.
Щоб зберегти ланцюг довіри, ОС повинна записати в UEFI нові сертифікати “Windows UEFI CA 2023”, після чого Windows почне використовувати завантажувач, підписаний новими ключами.
Що станеться, якщо проігнорувати дедлайн червня 2026 року?
Інженери Microsoft заспокоїли користувачів: якщо комп’ютер не отримає оновлені сертифікати до зазначеного терміну, він не перетвориться на “цеглу” і продовжить завантажуватися в звичайному режимі. Проте безпека системи почне незворотно погіршуватися.
По-перше, відбудеться припинення критичних оновлень завантажувача. Microsoft фізично не зможе підписувати низькорівневі виправлення старим ключем 2011 року, тому комп’ютери без сертифікатів 2023 року перестануть отримувати патчі для завантажувальних файлів.
По-друге, з’явиться вразливість перед руткитами (класом прихованого шкідливого ПЗ, яке отримує адміністративні привілеї в ОС і використовує їх для маскування свого існування та інших шкідливих програм). Пристрої не зможуть оновлювати бази даних DBX, що залишить їх беззахисними перед новими шкідливими програмами, які атакують ПК до запуску самої ОС.
Крім того, це заблокує установку майбутніх версій Windows, оскільки нові інсталятори почнуть вимагати наявність свіжих ключів.
Особливості оновлення та сумісність з BitLocker
Процес оновлення прошивки відбувається автоматично через накопичувальні пакети Windows Update (LCU) та керовані розгортання (CFR).
Користувачі можуть помітити, що під час установки комп’ютер перезавантажується кілька разів – це нормальна поведінка системи, необхідна для поетапної закладки сертифікатів, їх активації в UEFI та перезапуску нового завантажувача.
У Microsoft зазначили, що цей алгоритм повністю сумісний з шифруванням BitLocker та середовищем Virtual Secure Mode (VSM).
Припиняти шифрування дисків вручну не потрібно – система автоматично переназначає ключі доступу під час перезавантажень. Водночас на застарілих ПК з Legacy BIOS або з вимкненим у налаштуваннях Secure Boot оновлення буде автоматично ігноруватися, щоб уникнути пошкодження завантажувальних секторів.
Як перевірити статус безпечного завантаження на своєму ПК?
Починаючи з весняних оновлень Windows 11, користувачі можуть самостійно відстежувати готовність свого обладнання. Для цього потрібно перейти за шляхом: Безпека Windows -> Безпека пристрою -> розділ Безпечна завантаження.
Система буде відображати один із трьох статусів:
Зелена галочка: усі сертифікати успішно оновлені та застосовані, і ПК готовий до дедлайну.
Жовтий знак оклику: нові ключі доставлені на ПК, але ще не записані в прошивку (часто пристрій очікує планового перезавантаження).
Червоний знак зупинки: оновлення заблоковано через несумісність або апаратні обмеження материнської плати. У такому випадку додаток надасть інструкції для виправлення конфігурації BIOS.
Для корпоративних мереж Microsoft рекомендує не застосовувати примусову політику оновлення ключів “вслепу” до всього парку машин, а попередньо тестувати її на окремих групах пристроїв через можливі конфлікти з унікальними налаштуваннями материнських плат від різних OEM-виробників.
Наступне планове оновлення кореневих сертифікатів безпеки заплановане до 2038 року, коли індустрія почне масовий перехід на постквантову криптографію.