Microsoft обновляет сертификаты Secure Boot для защиты от будущих уязвимостей

Microsoft начала выпуск новых сертификатов Secure Boot для пользователей Windows, так как исходные сертификаты, выпущенные 15 лет назад, подходят к концу своего планового срока действия и истекают в июне 2026 года.

Компания распространяет новые сертификаты через обновления Windows для домашних пользователей, предприятий и учебных заведений, которые разрешают Microsoft управлять своими обновлениями.

Secure Boot — это процесс, запускаемый при загрузке до старта Windows, который использует криптографические ключи для проверки, что запускается только доверенное программное обеспечение. В записи блога Нуну Коста, партнёрский директор по обслуживанию и доставке Windows, пишет: «Вывод из эксплуатации старых сертификатов и введение новых — это стандартная отраслевая практика, которая помогает предотвратить превращение устаревших учётных данных в слабое место и поддерживает соответствие платформ современным требованиям безопасности».

Однако если вы купили ПК в 2025 году, то, скорее всего, у вас уже всё в порядке. Коста отмечает, что Microsoft работала с партнёрами-производителями (OEM), которые получают новые сертификаты с 2024 года. Устройства от OEM, выпущенные начиная с 2024 года, и «почти все» системы, поставленные в 2025 году, уже имеют новые сертификаты Secure Boot. Так что если вы приобрели один из лучших ультрабуков или игровых ноутбуков, вам беспокоиться не о чем.

Если вы разрешаете Microsoft управлять обновлениями ПК, ваши сертификаты будут установлены через стандартный процесс обновления Windows. Microsoft также рекомендует убедиться, что у вас установлена последняя версия микропрограммы (firmware) со страниц поддержки производителя. Компания указывает, что некоторые серверы или устройства Интернета вещей (IoT) могут иметь другие процессы, и «небольшая часть устройств» может потребовать обновления микропрограммы от производителей, прежде чем новые сертификаты Secure Boot можно будет применить через Центр обновления Windows.

Если ваш сертификат истечёт, ПК должен продолжать работать в обычном режиме, однако его безопасность будет скомпрометирована.

«По мере обнаружения новых уязвимостей на уровне загрузки, затронутые системы становятся всё более уязвимыми, поскольку они больше не могут устанавливать новые средства защиты», — пишет Коста. — «Со временем это также может привести к проблемам совместимости, поскольку новые операционные системы, микропрограмма, оборудование или программное обеспечение, зависящее от Secure Boot, могут не загрузиться».

Разумеется, если вы используете неподдерживаемую версию Windows, включая Windows 10, поддержка которой прекратилась в октябре 2025 года, вы не будете получать обновления Windows, в том числе новые сертификаты Secure Boot (за исключением пользователей и предприятий, участвующих в программе расширенных обновлений безопасности).

Это также даёт Microsoft ещё один шанс побудить своих клиентов перейти на Windows 11, на этот раз ради безопасности: «Мы по-прежнему рекомендуем клиентам всегда использовать поддерживаемую версию Windows для наилучшей производительности и защиты».

ИТ-специалисты уже давно в курсе ситуации с сертификатами. Ещё в ноябре блог Windows для ИТ-специалистов опубликовал «руководство по Secure Boot».

Хотя некоторые недавние обновления Windows вызывали нестабильность системы или другие проблемы, всё же лучше поддерживать вашу систему в актуальном состоянии, особенно если это касается безопасности вашего компьютера на годы вперёд.

Интересный факт: Технология Secure Boot была впервые представлена в 2011 году как часть спецификации UEFI (Unified Extensible Firmware Interface) и стала ключевым элементом защиты от руткитов и другого вредоносного ПО, работающего на низком уровне. Её широкое внедрение совпало с запуском Windows 8. Обновление криптографических ключей раз в 10-15 лет — стандартная практика в индустрии информационной безопасности, необходимая для поддержания стойкости шифрования против постоянно развивающихся вычислительных мощностей и методов атак.