Exspirujú Secure Boot certifikáty, PC bez nových môžu mať čoskoro problémy

Značky: PCMicrosoftbezpečnosť

DSL.sk, 25.6.2026

V týchto dňoch exspirujú dva bezpečnostné certifikáty spoločnosti Microsoft používané mechanizmom Secure Boot od zavedenia tejto funkčnosti. Na počítačoch so zapnutým Secure Boot, kde neprišlo k nahratiu nových certifikátov, môžu čoskoro potenciálne vzniknúť problémy pri bootovaní.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Secure Boot využíva certifikáty používané pre overovanie podpisov a zmien v konfigurácii Secure Boot, ktoré sú uložené v úložisku firmvéru na jednotlivých PC.

Technológia bola v PC bežne zavedená s príchodom Windows 8 uvedeným v roku 2012. Keďže operačný systém Windows od Microsoftu mal stále veľmi dominantné postavenie, výrobcovia PC v Secure Boot používajú certifikáty Microsoftu. Pôvodne sa používali certifikáty Microsoftu vytvorené v roku 2011, ktoré ale exspirujú tento rok.

Včera 24. júna 2026 exspiroval prvý označený Microsoft Corporation KEK CA 2011, ktorý je typu KEK, Key Enrollment Key, a používa sa pre overovanie podpisov aktualizácií konfigurácie Secure Boot v podobe databáz DB a DBX.

27. júna exspiruje certifikát Microsoft UEFI CA 2011, ktorý sa používa na overovanie podpisov iných bootloaderov ako Windows bootloader, EFI aplikácií a ROM komponentov.

Následne 19. októbra exspiruje certifikát Microsoft Windows Production PCA 2011, ktorý sa používa na overovanie podpisov Windows bootloadera.

Microsoft už v roku 2023 nasadil nové certifikáty na tieto účely, pre ich použitie je ich potrebné ale samozrejme nahrať do firmvéru jednotlivých PC. Na väčšine PC sa nové certifikáty nahrali cez aktualizácie Windows, možné je tiež nahratie cez aktualizácie firmvéru a BIOS-u od výrobcu PC.

Aká časť počítačov so Secure Boot nemá nahraté nové certifikáty, nie je jasné.

Z informácií Microsoftu vyplýva, že počítače neprestanú pri bootovaní akceptovať doterajší softvér podpísaný už exspirovanými certifikátmi a doterajší softvér má aj pri zapnutom Secure Boot fungovať naďalej.

Problém ale vznikne, keď sa po exspirácii týchto certifikátov aktualizuje podpísaný softvér. Zároveň bez nových certifikátov počítače nebudú akceptovať ani rozličné zmeny v konfigurácii Secure Boot vrátane zmien zlepšujúcich bezpečnosť.

Aké reálne problémy je kvôli exspirácii týchto certifikátov možné očakávať, kedy a v akom rozsahu, nie je jasné.


Najnovšie články:



Diskusia:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: patkaňa | Pridané: 25.6.2026 12:29 Konečne, po asi dvoch dekádach som prešiel z tohto ballastu na niečo iné, kde som pánom ja, nie systém. A už sa vrátiť nechcem. Môjho srdca šampión - Fedora 44 KDE Plasma. Odpovedať Známka: 4.5 Hodnotiť:

ultraradikálny optimalizatorizmus Od: syntaxterrorXXX, . Y | Pridané: 25.6.2026 13:02 To niečo iné má celé UI priekazne postavené na feedbacku toho ballastu. Odpovedať Známka: 6.0 Hodnotiť:

Re: ultraradikálny optimalizatorizmus Od: patkaňa | Pridané: 25.6.2026 15:17 Áno má, mne to vyhovuje tá podobnosť; skúšal som aj Gnome od fedory, no nič pre mňa. Ako som priekazne spomínal, ja som pánom systému na mojom ntb, nie ten konglomerát z Redmondu. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: monopol | Pridané: 25.6.2026 13:05 Skúšal som kadečo, nakoniec som aj tak skončil na archu :( Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: sensei-san | Pridané: 25.6.2026 13:10 Active AUR malicious packages incident - https://tinyurl.com/muxav23n oops. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? Od: mgr | Pridané: 25.6.2026 13:18 Tento problem sa netyka Windows, ale UEFI a Secure Boot, cize pocitacov ako takych. Cize bez ohadu na operacny system moze nastat problem, ze clovek nenabootuje OS podpisany novymi certifikatmi, napriklad mozno aj aktualizovany Linux. Riesenie je vypnut Secure Boot, co ale zase moze mat dalsie suvislosti. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Lebo? w2k Od: ____________ | Pridané: 25.6.2026 13:31 m$ je velka a hlupa firma, nieco ako markiza pre blondyni, progresivcov atd Odpovedať Známka: -3.3 Hodnotiť:

overenie Od: sensei-san | Pridané: 25.6.2026 13:08 Užitočné by bolo mať návod, ako si ten certifikát a jeho dátumy platnosti pozrieť. Odpovedať Hodnotiť:

Re: overenie Od: ___________ | Pridané: 25.6.2026 13:18 hlavu si lamat s dalsimi )-(&('47€+"_):)&);?:("+_" ? na kokociny, na to by ich bolo Odpovedať Hodnotiť:

Re: overenie Od: mgr | Pridané: 25.6.2026 13:25 # Script to verify Secure Boot 2023 Certificate Status $Results = @() # 1. Check Windows UEFI CA 2023 (Required for OS Booting) $dbRaw = [System.Text.Encoding]::ASCII.GetString( (Get-SecureBootUEFI db).Bytes) $Results += [PSCustomObject]@{ Component = "Windows UEFI CA 2023 (db)" Status = $dbRaw -match 'Windows UEFI CA 2023' } # 2. Check Microsoft UEFI CA 2023 (Required for Third-Party Drivers/Hardware) $Results += [PSCustomObject]@{ Component = "Microsoft UEFI CA 2023 (db)" Status = $dbRaw -match 'Microsoft UEFI CA 2023' } # 3. Check Microsoft KEK 2K CA 2023 (Required for Future DBX/Revocation Updates) $kekRaw = [System.Text.Encoding]::ASCII.GetString( (Get-SecureBootUEFI KEK).Bytes) $Results += [PSCustomObject]@{ Component = "Microsoft KEK 2K CA 2023 (KEK)" Status = $kekRaw -match 'Microsoft Corporation KEK 2K CA 2023' } $Results | Format-Table -AutoSize Odpovedať Hodnotiť:

Re: overenie Od: err8r8r8e | Pridané: 25.6.2026 13:31 A kam s tym? Odpovedať Hodnotiť:

Re: overenie Od: ___________ | Pridané: 25.6.2026 13:34 nikam, firma co sa hra na ochranu a potrebuje antivir atd ... Odpovedať Hodnotiť:

Re: overenie Od: mgr | Pridané: 25.6.2026 14:02 Spustit PowerShell s administratorskymi pravami, a v nom spustit tento skript. Odpovedať Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 25.6.2026 14:43 Presne tak. Nulitnosť bezpečnostného prínosu takýchto druhoradých certifikátov s obmedzenou platnosťou pofidérnych autorít je matematicky dokázateľná tak jednoducho, že je tým priekazne zbytočné sa ich menežovaním seriózne zaoberať. Odpovedať Hodnotiť:

Re: overenie Od: dasda | Pridané: 25.6.2026 14:13 KEK false - vraj je to pre buducnost. Je to zasadny problem? Odpovedať Hodnotiť:

Re: overenie Od: mgr | Pridané: 25.6.2026 14:16 Neviem ci je to zasadny problem, moc tomuto certifikatu nerozumiem, co je iste je ze sa nebudu dat pridavat revokacie, ak nejaky certifikat v buducnosti bude kompromitovany, ale to mi nepride az taky velky problem oproti uplne vypnutemu Secure Boot Odpovedať Hodnotiť:

vdaka za script, tu je výsledok: Od: dobrovolny tester | Pridané: 25.6.2026 14:11 Component Status --------- ------ Windows UEFI CA 2023 (db) True Microsoft UEFI CA 2023 (db) True Microsoft KEK 2K CA 2023 (KEK) True Odpovedať Hodnotiť:

ahaaaaa Od reg.: HovorilSomVam | Pridané: 25.6.2026 14:17 To plati aj pre pouzivatelov Nokia 3310? Kde si stiahnem update prosim vas? Dikocko. P.S.: progresivci prosim nekomentovat. Dakujem Odpovedať Hodnotiť:

Re: ahaaaaa Od: mgr | Pridané: 25.6.2026 14:20 No ak ma Nokia 3310 UEFI, tak urcite :-) Odpovedať Hodnotiť:

Lajdáčina Od: Lajdák | Pridané: 25.6.2026 14:20 Ja napríklad som na Win11, lebo mi ide všetko "vyklikaním". Na linuxe sa napríklad na každú steam hru kompilujú vulkan shadery. Alebo síce nainštalujem eID ale ako noob neviem či to inštalujem bezpečne. Alebo sa mi nepodarilo nahodiť GTA Launcher. Alebo,alebo.... Vy s takým linuxom dokážete všetko správne nainštalovať? :-))) ak áno tak frajerina Odpovedať Hodnotiť:

Re: Lajdáčina Od: ______________ | Pridané: 25.6.2026 14:44 a starsie hry na win eleven funguju? Odpovedať Hodnotiť:

ckdkucuc Od: jdjdjjdd | Pridané: 25.6.2026 14:28 preco nedali platnost certifikatu do roku 9999 ? aj bany na xbox live davali do toho roku Odpovedať Hodnotiť:

Pridať komentár