Windows Secure Boot 2026: Microsoft geeft laatste waarschuwing over verlopen certificaten

Microsoft is al begonnen met het uitrollen van de vervangende Secure Boot certificaatketen die Windows nodig zal hebben zodra de originele 2011 certificaten beginnen te verlopen in juni 2026. Notebookcheck heeft onlangs de waarschuwing van Microsoft en de vroege uitrolsignalen die te zien zijn in recente cumulatieve updates, maar de volgende fase gaat minder over Windows en meer over de firmwarereedbaarheid.

Als de UEFI-firmware van uw pc niet voorbereid is om de nieuwe 2023-certificaten te accepteren en te behouden, kan Windows Update de overdracht proberen en het apparaat toch laten vastzitten in wat Microsoft beschrijft als een verslechterde beveiligingstoestand, waarin toekomstige boot-gerelateerde beveiligingsupdates mogelijk niet correct worden toegepast.

Wat verloopt er eigenlijk, en wanneer?

Microsofts langlopende Secure Boot vertrouwensankers uit 2011 beginnen eind juni 2026 te verlopen, met extra verlopen later in 2026. De uitsplitsing van Dell is een van de duidelijkste openbare tijdlijnen en vermeldt de vervaldatum van het eerste certificaat uit 2011 als 24 juni 2026 (Microsoft Corporation KEK CA 2011), gevolgd door 27 juni 2026 (Microsoft Corporation UEFI CA 2011), en een ander sleutelcertificaat dat afloopt op 19 oktober 2026 (Microsoft Windows Production PCA 2011).

In de praktijk komen meerdere leveranciers op hetzelfde neer: er wordt verwacht dat systemen blijven opstarten, maar apparaten die niet overstappen op de certificaatketen uit het jaar 2023 kunnen de mogelijkheid verliezen om toekomstige bootloader- en Secure Boot-updates te ontvangen, waar de woorden "verminderde beveiliging" vandaan komen.

De rol van Microsoft: Windows kan de nieuwe vertrouwensketen leveren, maar alleen als de firmware meewerkt

De belangrijkste technische oplossing zit al in ondersteunde Windows builds. Microsoft's KB5036210 merkt op dat Windows-updates die zijn uitgebracht op en na 13 februari 2024 de mogelijkheid bevatten om het Windows UEFI CA 2023-certificaat toe te passen op de UEFI Secure Boot Allowed Signature Database (db), en dat het bijwerken van de db nodig is om toekomstige bootloader-updates te ontvangen via maandelijkse updates.

Microsoft zegt ook dat "de meeste persoonlijke Windows-apparaten" de nieuwe certificaten automatisch zouden moeten ontvangen via door Microsoft beheerde updates, maar waarschuwt expliciet dat sommige apparaten mogelijk een OEM-firmware-update nodig hebben om de nieuwe certificaten correct toe te passen.

Waar OEM's om de hoek komen kijken: Actieve sleutels vs. standaardsleutels, en waarom resets u kunnen bijten

Dit is waar het firmwarebeleid van de leverancier er meer toe doet dan de meeste thuisgebruikers beseffen. Dell's Secure Boot Transition FAQ maakt onderscheid tussen de Active Secure Boot database (wat het systeem daadwerkelijk afdwingt bij het opstarten, en wat Windows Update vaak wijzigt) en de Default Secure Boot database (de fabrieksreset, meestal bijgewerkt via BIOS flashen). Dell waarschuwt ook dat bepaalde firmware-acties, zoals het inschakelen van de "Expert Key Mode", Active-variabelen kunnen wissen die afkomstig zijn van Windows Update als de Default database niet op de juiste manier is bijgewerkt.

In datzelfde Dell-document wordt ook een "dubbele certificaatstrategie" beschreven, waarin staat dat Dell eind 2024 is begonnen met het verzenden van zowel 2011- als 2023-certificaten op nieuw gelanceerde platforms en deze aanpak heeft uitgebreid naar duurzame platforms die eind 2025 uit de fabrieken kwamen.

Lenovo's eigen richtlijnen voor commerciële pc's beschrijven de fix ook als een BIOS-update die de 2023-certificaten toevoegt aan de standaard Secure Boot-variabelen, waarbij soms extra stappen nodig zijn om de 2023-variabelen te activeren op systemen die nog niet vooraf geconfigureerd zijn. Het geeft ook aan dat BitLocker herstel een potentieel neveneffect is, daarom blijft het maken van een back-up van herstelsleutels vóór firmwarewijzigingen een goede gewoonte.

HP's advies zegt ook dat het samenwerkt met Microsoft om Secure Boot-geschikte HP producten voor te bereiden op de nieuwe certificaten voor te bereiden op de nieuwe certificaten en waarschuwt dat het verlopen van certificaten kan voorkomen dat systemen Secure Boot en Windows Boot Manager-gerelateerde beveiligingsupdates ontvangen, waardoor de blootstelling aan bootkit-achtige bedreigingen toeneemt.

Het DIY en gaming moederbordprobleem: soms moet u zelf "standaardsleutels installeren

ASUS is een van de weinige leveranciers die een zeer procedurele, stap-voor-stap handleiding voor deze overgang heeft gepubliceerd, inclusief hoe u kunt controleren of de nieuwe 2023 vermeldingen in de firmware aanwezig zijn en wat u moet doen als dat niet zo is.

In de ondersteunings FAQbeschrijft ASUS hoe u door het sleutelbeheer van UEFI Secure Boot navigeert en controleert of KEK "Microsoft Corporation KEK 2K CA 2023" bevat, en dat de db "Windows UEFI CA 2023" bevat (naast andere 2023-era Microsoft-vermeldingen). Het documenteert ook herstelstappen zoals "Standaard Secure Boot Keys installeren" of "Fabriekssleutels herstellen" na het bijwerken van het BIOS, waardoor de sleuteldatabases opnieuw worden gevuld vanuit de standaard opslag van de firmware.

Dit is het gat dat doe-het-zelf-systemen het hardst treft: Windows kan updates leveren, maar de moederbordfirmware kan nog steeds handmatige interventie vereisen voordat de nieuwe sleutels volledig aanwezig en actief zijn.

Hoe u de gereedheid kunt controleren met behulp van de officiële signalen van Microsoft

Voor IT-beheerders bevat Microsofts Secure Boot playbook concrete indicatoren die u kunt controleren.

Microsoft zegt dat een succesvolle implementatie kan worden bevestigd door Windows System Event Log-vermeldingen voor Event ID 1808 te controleren, en dat mislukkingen bij het toepassen van bijgewerkte certificaten worden geassocieerd met Event ID 1801. Hetzelfde afdraaiboek verwijst ook naar de registersleutel UEFICA2023Status registersleutel, die uiteindelijk "Bijgewerkt" zou moeten zijn, en merkt op dat een UEFICA2023Error-sleutel niet zou moeten bestaan tenzij er een fout optreedt.

Het draaiboek raadt ook expliciet aan om OEM-firmware-updates toe te passen vóór Secure Boot-gerelateerde Windows-updates als uw organisatie problemen heeft geïdentificeerd of uw OEM een BIOS-update aanbeveelt, wat het algemene thema versterkt: de Windows-kant is slechts de helft van het verhaal.

De Windows 10 "zombie" randgevallen zijn nog steeds reëel

Tot slot is de certificaatvernieuwing een ander drukpunt voor Windows 10-houders. In Microsofts eigen ondersteuningsdocumentatie staat dat de ondersteuning van Windows 10 eindigt op 14 oktober 2025, en Microsoft positioneert Windows 10 Extended Security Updates (ESU) als het betaalde pad om beveiligingsupdates te blijven ontvangen na die datum.

De Secure Boot-richtlijnen van Microsoft herhalen ook dat apparaten op niet-ondersteunde Windows-versies geen Windows-updates ontvangen. Daarom is de Secure Boot overdracht effectief gebonden is aan een ondersteund servicepad (of ESU voor Windows 10, indien van toepassing).