Microsoft stelt 2026 als deadline voor het verlopen van Secure Boot-certificaten

Microsoft waarschuwt Windows-gebruikers en IT-beheerders dat de oorspronkelijke Secure Boot-certificaten die in 2011 zijn uitgegeven in juni 2026 beginnen te verlopen, met extra vervaldatums die tot oktober 2026 lopen. Het bedrijf zegt dat het al is begonnen met het bijwerken van de getroffen systemen met een nieuwe set 2023 certificaten, geleverd via regelmatige Windows-updates voor veel apparaten.

De aankondiging verschijnt in Microsofts Patch Tuesday release notes van 13 januari 2026 voor Windows 11 (KB5074109) onder "Windows Secure Boot certificaat vervaldatum", waar Microsoft de startdatum van juni 2026 noemt en gebruikers wijst op richtlijnen voor de voorbereiding.

Op 10 februari 2026 publiceerde Microsoft ook KB5079373 ("Wanneer Secure Boot-certificaten verlopen op Windows-apparaten"), waarin wordt samengevat wat het verlopen inhoudt en waarin wordt herhaald dat de meeste apparaten automatisch moeten worden bijgewerkt, terwijl voor sommige apparaten OEM-firmware-updates nodig kunnen zijn.

Wat verandert er als de 2011 certificaten beginnen te verlopen

Microsoft zegt dat apparaten die de vervaldatum bereiken nog steeds normaal moeten opstarten en standaard Windows-updates moeten blijven ontvangen. Het belangrijkste verschil is dat systemen die de nieuwere certificaten missen, niet langer de nieuwe beveiligingen voor het vroege opstartproces kunnen ontvangenwaaronder updates voor Windows Boot Manager, Secure Boot-databases, intrekkingslijsten en fixes voor nieuw ontdekte kwetsbaarheden in de opstartketen.

In zijn bredere certificaatuitleg Secure Boot (KB5062710) waarschuwt Microsoft op dezelfde manier dat, hoewel het dagelijkse gebruik er misschien ongewijzigd uitziet, de getroffen machines na verloop van tijd steeds minder beschermd worden naarmate er nieuwe bedreigingen op opstartniveau opduiken.

Welke certificaten verlopen en wat vervangt ze?

In Microsofts IT-richtlijnensomt het bedrijf drie door Microsoft geleverde Secure Boot-certificaten op die sinds het Windows 8 / Windows Server 2012-tijdperk in gebruik zijn, en zegt dat ze vanaf juni 2026 beginnen te verlopen en in oktober 2026 zouden verlopen.

Microsoft verplaatst apparaten naar 2023-certificaatautoriteiten, inclusief nieuwe vermeldingen die worden gebruikt voor het ondertekenen van Secure Boot database-updates en Windows opstartcomponenten, en merkt op dat het in sommige omgevingen nodig kan zijn om aparte 2023-certificaten toe te voegen, afhankelijk van wat een apparaat moet vertrouwen (bijvoorbeeld Option ROM-gerelateerd vertrouwen).

Wat gebruikers en organisaties nu moeten doen

Voor de meeste consumenten-pc's zegt Microsoft dat de vervangende certificaten moeten worden geleverd via door Microsoft beheerde updates, maar het bedrijf waarschuwt dat voor sommige systemen een OEM-firmware-update nodig kan zijn om de nieuwe certificaten correct toe te passen. Microsoft raadt ook af om Secure Boot uit te schakelen als workaround.

Voor beheerde machineparken geven de richtlijnen en het draaiboek van Microsoft manieren aan om de wijzigingen te inventariseren, controleren en implementeren (inclusief Intune, Group Policy en op het register gebaseerde methoden) vóór de deadline van 2026 juni.

Rapportage van derden over de uitrol merkt op dat Microsoft dit behandelt als een "generatievernieuwing" van de boot trust chain, waarbij updates nu worden geleverd via regulier Windows onderhoud voor apparaten die worden ondersteund.