Secure Boot w Windows czeka zmiana. Microsoft szykuje ważną aktualizację

Secure Boot, który od lat odpowiada za bezpieczeństwo Windowsa przejdzie pewną zmianę. Firma poinformowała, że dotychczasowe certyfikaty wykorzystywane do weryfikacji procesu startu komputera wkrótce wygasną i zostaną zastąpione nowymi.

Zmiana nie jest związana z nagłym zagrożeniem, lecz z naturalnym cyklem życia zabezpieczeń kryptograficznych. Certyfikaty, podobnie jak inne elementy systemów bezpieczeństwa, mają określony czas ważności. Po jego upływie muszą zostać odnowione.

Czym jest Secure Boot

Secure Boot pojawił się razem z Windows 8 jako element standardu UEFI. Jego zadaniem jest sprawdzanie, czy podczas uruchamiania komputera nie ładuje się nieautoryzowany lub złośliwy kod. W praktyce oznacza to, że firmware płyty głównej weryfikuje podpisy cyfrowe komponentów startowych systemu operacyjnego.

Microsoft poinformował, iż dotychczasowe certyfikaty Secure Boot wykorzystywane do weryfikacji procesu startu komputera wkrótce wygasną i zostaną zastąpione nowymi.

To zabezpieczenie ma chronić użytkowników przed rootkitami i innym złośliwym oprogramowaniem, które próbuje przejąć kontrolę nad systemem jeszcze przed startem Windowsa.

Stare certyfikaty odchodzą do historii

Pierwsze certyfikaty Secure Boot były używane od 2011 roku i przez ponad 15 lat odpowiadały za weryfikację procesu startowego w milionach komputerów. Teraz jednak zbliżają się do końca swojego cyklu życia. Od czerwca 2026 roku nie będą już uznawane za ważne.

Microsoft podkreśla, iż wymiana certyfikatów to standardowa praktyka. Wraz z rozwojem kryptografii starsze klucze i certyfikaty mogą stać się potencjalnie słabszym ogniwem. Nowe certyfikaty zostały przygotowane już wcześniej, ale teraz nadchodzi moment, w którym ich wdrożenie stanie się konieczne.

Jak będzie przebiegała aktualizacja

W przypadku wspieranych komputerów z Windows 11 oraz Windows 10 objętych programem rozszerzonych aktualizacji zabezpieczeń nowe certyfikaty będą dostarczane przez Windows Update. Trafią do użytkowników razem z comiesięcznymi poprawkami bezpieczeństwa.

W środowiskach firmowych proces ten może być zarządzany centralnie przy użyciu narzędzi administracyjnych. Microsoft współpracuje przy tym z producentami sprzętu, OEM-ami i partnerami, ponieważ Secure Boot działa na poziomie firmware’u. Oznacza to, że w wielu przypadkach konieczne może być także odpowiednie wsparcie ze strony producenta płyty głównej lub laptopa.

Co z starszymi komputerami

Urządzenia, które nie są już wspierane przez Microsoft, nie otrzymają nowych certyfikatów za pośrednictwem Windows Update. W praktyce taki komputer nadal będzie się uruchamiał, nawet jeśli korzysta ze starych certyfikatów z 2011 roku.

Kontrowersyjny Secure Boot

W ostatnich latach Secure Boot był kilkukrotnie przedmiotem dyskusji ze względu na wykryte podatności, w tym głośne luki wpływające na integralność procesu startowego. Jednocześnie mechanizm ten coraz częściej staje się wymogiem w niektórych grach sieciowych oraz systemach zabezpieczeń, co bywa problematyczne dla użytkowników Linuksa lub starszego sprzętu.