Windows Secure Boot 2026: Microsoft utfärdar en sista varning om certifikat som löper ut

Microsoft har redan börjat rulla ut den ersättande Secure Boot-certifikatkedjan som Windows kommer att behöva när de ursprungliga 2011-certifikaten börjar löpa ut i juni 2026. Notebookcheck skrev nyligen om Microsofts varning och de tidiga utrullningssignalerna som dyker upp i de senaste kumulativa uppdateringarna, men nästa fas handlar mindre om Windows och mer om firmwareberedskap.

Om din dators UEFI-firmware inte är förberedd för att acceptera och behålla de nya 2023-certifikaten kan Windows Update försöka överföra och ändå lämna enheten fast i vad Microsoft beskriver som ett försämrat säkerhetstillstånd, där framtida startrelaterade säkerhetsuppdateringar kanske inte tillämpas rent.

Vad är det egentligen som löper ut, och när?

Microsofts långvariga Secure Boot förtroendeankare från 2011 börjar löpa ut i slutet av juni 2026, med ytterligare utgång senare under 2026. Dells uppdelning är en av de tydligaste offentliga tidslinjerna och listar det första 2011-certifikatets utgångsdatum som 24 juni 2026 (Microsoft Corporation KEK CA 2011), följt av 27 juni 2026 (Microsoft Corporation UEFI CA 2011) och ett annat nyckelcertifikat som löper ut den 19 oktober 2026 (Microsoft Windows Production PCA 2011).

I praktiken har flera leverantörer samma slutsats: systemen förväntas fortsätta att starta, men enheter som inte övergår till 2023-certifikatkedjan kan förlora förmågan att ta emot framtida bootloader- och Secure Boot-uppdateringar, och det är därifrån formuleringen "försämrad säkerhet" kommer.

Microsofts del: Windows kan leverera den nya förtroendekedjan, men bara om den inbyggda programvaran samarbetar

Den viktigaste tekniska möjliggöraren finns redan i Windows-versioner som stöds. Microsofts KB5036210 noterar att Windows-uppdateringar som släpps den 13 februari 2024 och senare inkluderar möjligheten att tillämpa Windows UEFI CA 2023-certifikatet på UEFI Secure Boot Allowed Signature Database (db), och att uppdatering av db behövs för att få framtida boot loader-uppdateringar genom månatliga uppdateringar.

Microsoft säger också att "de flesta personliga Windows-enheter" bör få de nya certifikaten automatiskt via Microsoft-hanterade uppdateringar, men varnar uttryckligen för att vissa enheter kan kräva en OEM-firmwareuppdatering för att tillämpa de nya certifikaten korrekt.

Där OEM-tillverkare kommer in i bilden: Aktiva nycklar vs Standardnycklar, och varför återställningar kan bita dig

Det är här leverantörens firmware-policy spelar större roll än de flesta hemanvändare inser. Dells Secure Boot Transition FAQ skiljer mellan Active Secure Boot-databasen (vad systemet faktiskt verkställer vid uppstart och vad Windows Update vanligtvis ändrar) och Default Secure Boot-databasen (fabriksinställningen, vanligtvis uppdaterad via BIOS-blinkning). Dell varnar också för att vissa åtgärder i den fasta programvaran, t.ex. att växla "Expert Key Mode", kan radera aktiva variabler som kommer från Windows Update om standarddatabasen inte har uppdaterats på rätt sätt.

I samma Dell-dokument beskrivs också en "strategi med dubbla certifikat", där det står att Dell började leverera både 2011- och 2023-certifikat på nylanserade plattformar i slutet av 2024 och utökade denna strategi till att omfatta hållbara plattformar som levererades från fabriker i slutet av 2025.

Lenovos egen vägledning för kommersiella datorer ramar på liknande sätt in lösningen som en BIOS-uppdatering som lägger till 2023-certifikaten i standardvariablerna för Secure Boot, med ytterligare steg som ibland behövs för att aktivera 2023-variablerna på system som inte redan är förkonfigurerade. Det flaggar också BitLocker-återställning som en potentiell bieffekt, varför säkerhetskopiering av återställningsnycklar innan firmwareändringar förblir god praxis.

HP:s råd säger också att de har arbetat med Microsoft för att förbereda Secure Boot-aktiverade HP-produkter för de nya certifikaten och varnar för att certifikatets utgång kan hindra system från att ta emot Secure Boot och Windows Boot Manager-relaterade säkerhetsuppdateringar, vilket ökar exponeringen för bootkit-liknande hot.

DIY- och spelmoderkortsproblemet: ibland måste du "installera standardnycklar" själv

ASUS är en av de få konsumentinriktade leverantörer som har publicerat en mycket procedurmässig, steg-för-steg-guide för denna övergång, inklusive hur man bekräftar att de nya 2023-posterna finns i firmware och vad man ska göra om de inte gör det.

I sin support FAQbeskriver ASUS hur man navigerar genom UEFI Secure Boot-nyckelhantering och verifierar att KEK inkluderar "Microsoft Corporation KEK 2K CA 2023" och att db inkluderar "Windows UEFI CA 2023" (tillsammans med andra Microsoft-poster från 2023-eran). Det dokumenterar också åtgärdssteg som "Install Default Secure Boot Keys" eller "Restore Factory Keys" efter uppdatering av BIOS, vilket effektivt fyller på nyckeldatabaserna från firmwareens standardbutik.

Det här är det gap som tenderar att drabba DIY-system hårdast: Windows kan leverera uppdateringar, men moderkortets firmware kan fortfarande kräva manuell intervention innan de nya nycklarna är helt närvarande och aktiva.

Så här kontrollerar du beredskapen med hjälp av Microsofts officiella signaler

För IT-hanterade flottor innehåller Microsofts Secure Boot playbook beskrivs konkreta indikatorer som du kan övervaka.

Microsoft säger att en lyckad distribution kan bekräftas genom att granska Windows System Event Log-poster för händelse-ID 1808, och att misslyckanden med att tillämpa uppdaterade certifikat är associerade med händelse-ID 1801. Samma spelbok hänvisar också till UEFICA2023Status registernyckel, som i slutändan bör läsa "Uppdaterad", och noterar att en UEFICA2023Error-nyckel inte ska finnas om inte ett fel väntar.

Playbook rekommenderar också uttryckligen att tillämpa OEM-firmwareuppdateringar före Secure Boot-relaterade Windows-uppdateringar om din organisation har identifierat problem eller om din OEM rekommenderar en BIOS-uppdatering, vilket förstärker det övergripande temat: Windows-sidan är bara halva historien.

Windows 10 "zombie"-exemplet är fortfarande verkligt

Slutligen är certifikatuppdateringen en annan tryckpunkt för Windows 10-hållare. Microsofts egen supportdokumentation anger att Windows 10-support slutade den 14 oktober 2025, och Microsoft positionerar Windows 10 Extended Security Updates (ESU) som den betalda vägen för att fortsätta att få säkerhetsuppdateringar efter det datumet.

Microsofts Secure Boot-vägledning upprepar också att enheter med Windows-versioner som inte stöds inte får Windows-uppdateringar, vilket är anledningen till att Secure Boot i praktiken är knuten till att enheten följer en serviceväg som stöds (eller ESU för Windows 10, där så är tillämpligt).