Istek certifikata za sigurno pokretanje sustava Windows i ažuriranja ustanove za izdavanje certifikata

Što je sigurno pokretanje?

Sigurno pokretanje sigurnosna je značajka u programskoj opremi utemeljenoj na Jedinstvenom sučelju za proširivu opremu (UEFI) koja osigurava da se tijekom slijeda pokretanja (pokretanja) uređaja pokrene samo pouzdani softver. Funkcionira tako da provjerava digitalni potpis softvera prije pokretanja sustava u odnosu na skup pouzdanih digitalnih certifikata (poznatih i kao ustanova za izdavanje certifikata ili CA) pohranjenih u opremi uređaja. Kao industrijski standard, UEFI Secure Boot definira kako firmver platforme upravlja certifikatima, provjerava autentičnost firmvera i kako se operacijski sustav (OS) povezuje s tim procesom. Dodatne pojedinosti o UEFI-ju i sigurnom pokretanju potražite u odjeljku Sigurno pokretanje.

Sigurno pokretanje prvi je put uvedeno u sustavu Windows 8 radi zaštite od novonastale prijetnje zlonamjernog softvera prije pokretanja sustava (poznatog i kao bootkit). Kao dio inicijalizacije platforme, sigurno pokretanje provjerava autentičnost modula opreme prije izvršavanja. Ti moduli uključuju upravljačke programe UEFI opreme (kao što su Option ROM-ovi), boot loadere i aplikacije. Kao posljednji korak postupka sigurnog pokretanja, oprema provjerava smatra li sigurno pokretanje pouzdan za učitavač pokretanja. Zatim firmware prenosi kontrolu na učitavač pokretanja, koji to provjerava, učitava u memoriju i pokreće operacijski sustav Windows.

Sigurno pokretanje definira pouzdani kod putem pravilnika programske opreme koji se postavlja tijekom proizvodnje. Promjenama pravilnika, kao što su dodavanje ili opoziv certifikata, upravlja hijerarhija ključeva. Hijerarhija započinje ključem platforme (PK), koji je obično u vlasništvu proizvođača hardvera, a nakon njega slijedi ključ za prijavu ključa (KEK) (poznat i kao ključ za razmjenu ključeva), koji može obuhvaćati Microsoft KEK i druge OEM-ove KEK-ove. Baza podataka dopuštenih potpisa (DB) i zabranjena baza podataka potpisa (DBX) određuju koji se kod može pokrenuti u UEFI okruženju prije pokretanja OS-a. DB sadrži certifikate kojima upravljaju Microsoft i OEM, a DBX ažurira Microsoft najnovijim opozivima. Bilo koji entitet s KEK-om može ažurirati DB i DBX.

Utjecaj isteka certifikata za sigurno pokretanje sustava

Microsoft ažurira certifikate za sigurno pokretanje izvorno izdane 2011. godine da bi osigurao da uređaji sa sustavom Windows nastave provjeravati pouzdani softver za pokretanje. Ti stariji certifikati počinju istjecati u lipnju 2026. Uređaji koji nisu dobili novije certifikate za 2023. nastavit će se pokretati i normalno funkcionirati, a standardna ažuriranja sustava Windows nastavit će se instalirati. No ti uređaji više neće moći primati nove sigurnosne zaštite za proces ranog pokretanja, uključujući ažuriranja upravitelja pokretanja sustava Windows, baze podataka sigurnog pokretanja, popise opozvanih sustava ili mjere ublažavanja novootkrivenih ranjivosti na razini pokretanja. 

S vremenom to ograničava zaštitu uređaja od novih prijetnji i može utjecati na scenarije koji se oslanjaju na pouzdano sigurno pokretanje, kao što je BitLocker pojačavanje otpornosti ili bootloaderi drugih proizvođača. Većina uređaja sa sustavom Windows automatski će primiti ažurirane certifikate, a mnogi OEM-ovi ažuriraju opremu kada je to potrebno. Ažurnost uređaja s ovim ažuriranjima osigurava da će moći nastaviti primati sve sigurnosne zaštite koje je sigurno pokretanje dizajnirano pružiti.

Certifikati za sigurno pokretanje sustava Windows istječu 2026.

Otkako je Windows uveo podršku za sigurno pokretanje, svi uređaji sa sustavom Windows imaju isti skup Microsoftovih certifikata u KEK-u i DB-u. Ti se izvorni certifikati približavaju datumu isteka, a vaš uređaj zahvaćen je ako ima bilo koju od navedenih verzija certifikata. Da biste nastavili koristiti Windows i primati redovita ažuriranja za konfiguraciju sigurnog pokretanja sustava, morat ćete ažurirati te certifikate.

Terminologija

• KEK: Ključ za registraciju ključa

• CA: Ustanova za izdavanje certifikata

• DB: Baza podataka potpisa sigurnog pokretanja sustava

• DBX: Sigurno boot pokretanje opozvano u bazu podataka potpisa

Microsoft je izdao ažurirane certifikate da bi osigurao kontinuitet zaštite sigurnog pokretanja sustava na uređajima sa sustavom Windows. Microsoft će upravljati postupkom ažuriranja tih novih certifikata na znatnom dijelu uređaja sa sustavom Windows. Osim toga, ponudit ćemo detaljne smjernice za tvrtke ili ustanove koje same upravljaju ažuriranjima svojih uređaja.

Poziv na akciju

Možda ćete morati poduzeti radnje kako biste osigurali da vaš uređaj sa sustavom Windows ostane siguran kada certifikati isteknu 2026. godine. I UEFI Secure Boot DB i KEK moraju se ažurirati odgovarajućim novim verzijama certifikata za 2023. Dodatne informacije o novim certifikatima potražite u Smjernicama za stvaranje i upravljanje ključem sigurnog pokretanja sustava Windows. 

Vaše će se radnje razlikovati ovisno o vrsti uređaja sa sustavom Windows koji imate. Na izborniku s lijeve strane odaberite vrstu uređaja i određenu radnju koju morate poduzeti.  

Resursi Microsoftove korisničke podrške

Da biste se obratili Microsoftovoj podršci, pogledajte: 

• Microsoftova podrška , a zatim kliknite Windows.

• Support for business , a zatim kliknite Stvori da biste stvorili novi zahtjev za podršku.
  
  Kada stvorite novi zahtjev za podršku, on bi trebao izgledati ovako: