Updates over het verlopen van Windows Secure Boot-certificaat en CA

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 26 juni 2025
  • KB-id: 5062710
Wijzigingenlogboek
Datum wijzigen Beschrijving wijzigen
18 mei 2026
  • De certificaattabel in de sectie 'Windows Secure Boot-certificaten die verlopen in 2026' is bijgewerkt met de dag van de maand.
5 mei 2026
  • Er is een nieuwe sectie toegevoegd, 'Bronnen voor Microsoft-klantenondersteuning'.
3 februari 2026
  • Er is een nieuwe sectie 'De impact van het verlopen van Secure Boot-certificaten' toegevoegd.
  • De notities die zijn gemarkeerd als 'Belangrijk' boven en onder de sectie ' Oproep tot actie' zijn verwijderd.
dinsdag 10 november 2025 Twee typefouten gecorrigeerd onder "Nieuw certificaat":
  • van Microsoft Corporation KEK CA 2023" naar "Microsoft Corporation KEK 2K CA 2023"
  • en van 'Microsoft Option ROM CA 2023' naar 'Microsoft Option ROM UEFI CA 2023'

Wat is beveiligd opstarten?

Beveiligd opstarten is een beveiligingsfunctie in op UEFI (Unified Extensible Firmware Interface) gebaseerde firmware die ervoor zorgt dat alleen vertrouwde software wordt uitgevoerd tijdens het opstarten (starten) van een apparaat. Dit werkt door de digitale handtekening van pre-boot software te verifiëren aan de hand van een set vertrouwde digitale certificaten (ook wel certificeringsinstantie of CA genoemd) die zijn opgeslagen in de firmware van het apparaat. Als industriestandaard definieert UEFI Secure Boot hoe platformfirmware de certificaten beheert, firmware verifieert en hoe het besturingssysteem (OS) met dit proces communiceert. Zie Beveiligd opstarten voor meer informatie over UEFI en beveiligd opstarten.

Beveiligd opstarten werd voor het eerst geïntroduceerd in Windows 8 om bescherming te bieden tegen de toen opkomende pre-boot malware (ook wel bekend als een bootkit). Als onderdeel van platforminitialisatie authenticeert Secure Boot firmwaremodules voordat ze worden uitgevoerd. Deze modules bevatten UEFI-firmwarestuurprogramma's (zoals optie-ROM's), opstartladers en toepassingen. Als laatste stap van het proces voor beveiligd opstarten controleert de firmware of beveiligd opstarten het opstartlaadprogramma vertrouwt. Vervolgens geeft de firmware de controle door aan de opstartlader, die op zijn beurt verifieert, in het geheugen laadt en het Windows-besturingssysteem start.

Beveiligd opstarten definieert vertrouwde code via een firmwarebeleid dat tijdens de productie is ingesteld. Wijzigingen in dit beleid, zoals het toevoegen of intrekken van certificaten, worden bepaald door een hiërarchie van sleutels. Deze hiërarchie begint met de Platform Key (PK), die meestal eigendom is van de hardwarefabrikant, gevolgd door de Key Enrollment Key (KEK) (ook wel Key Exchange Key genoemd), die een Microsoft KEK en andere OEM KEK's kan bevatten. De Allowed Signature Database (DB) en de Disallowed Signature Database (DBX) bepalen welke code kan worden uitgevoerd in de UEFI-omgeving voordat het besturingssysteem wordt gestart. De DB bevat certificaten die worden beheerd door Microsoft en de OEM, terwijl de DBX door Microsoft wordt bijgewerkt met de meest recente intrekkingen. Elke entiteit met een KEK kan de DB en DBX bijwerken.

De impact van het verlopen van Secure Boot-certificaat

Microsoft werkt de certificaten voor beveiligd opstarten die oorspronkelijk zijn uitgegeven in 2011 bij om ervoor te zorgen dat Windows-apparaten vertrouwde opstartsoftware blijven verifiëren. Deze oudere certificaten verlopen in juni 2026. Apparaten die niet de nieuwere 2023-certificaten hebben ontvangen, blijven normaal starten en werken, en standaard Windows-updates blijven geïnstalleerd. Deze apparaten kunnen echter geen nieuwe beveiligingsmaatregelen meer ontvangen voor het vroege opstartproces, inclusief updates voor Windows Boot Manager, Secure Boot-databases, intrekkingslijsten of oplossingen voor nieuw ontdekte kwetsbaarheden op opstartniveau.

Dit beperkt na verloop van tijd de bescherming van het apparaat tegen nieuwe bedreigingen en kan van invloed zijn op scenario's die afhankelijk zijn van de vertrouwensrelatie voor beveiligd opstarten, zoals BitLocker-beveiliging of bootloaders van derden. De meeste Windows-apparaten ontvangen de bijgewerkte certificaten automatisch en veel OEM's bieden firmware-updates wanneer dat nodig is. Door je apparaat up-to-date te houden met deze updates, zorg je ervoor dat het de volledige set beveiligingsmaatregelen kan blijven ontvangen die Beveiligd opstarten moet bieden.

Windows Secure Boot-certificaten verlopen in 2026

Sinds Windows ondersteuning voor beveiligd opstarten heeft geïntroduceerd, hebben alle Windows-apparaten dezelfde set Microsoft-certificaten in de KEK en DB. De vervaldatum van deze oorspronkelijke certificaten nadert en uw apparaat is getroffen als het een van de vermelde certificaatversies heeft. Als je Windows wilt blijven uitvoeren en regelmatig updates voor je secure boot-configuratie wilt ontvangen, moet je deze certificaten bijwerken.

Terminologie

  • KEK: Sleutel voor inschrijving
  • CA: Certificeringsinstantie
  • DB: Handtekeningdatabase voor beveiligd opstarten
  • DBX: Database met ingetrokken handtekeningen voor beveiligd opstarten
Verlopend certificaat Vervaldatum Nieuw certificaat Opslaglocatie Doel
Microsoft Corporation KEK CA 2011 24 juni 2026 Microsoft Corporation KEK 2K CA 2023 Opgeslagen in KEK Ondertekent updates voor DB en DBX.
Microsoft Windows Production PCA 2011 19 oktober 2026 Windows UEFI CA 2023 Opgeslagen in DB Wordt gebruikt voor het ondertekenen van de Windows-opstartlader.
Microsoft UEFI CA 2011*** 27 juni 2026 Microsoft UEFI CA 2023 Opgeslagen in DB Ondertekent opstartladers van derden en EFI-toepassingen.
Microsoft UEFI CA 2011*** 27 juni 2026 Microsoft-optie ROM UEFI CA 2023 Opgeslagen in DB Ondertekent optie-ROM's van derden

Opmerking

*Tijdens de vernieuwing van het Microsoft Corporation UEFI CA 2011-certificaat worden bootloader-ondertekening gescheiden van optie-ROM-ondertekening. Hierdoor is een nauwkeurigere controle over systeemvertrouwen mogelijk. Systemen die optie-ROM's moeten vertrouwen, kunnen bijvoorbeeld de Microsoft-optie ROM UEFI CA 2023 toevoegen zonder vertrouwen toe te voegen voor opstartladers van derden.

Microsoft heeft bijgewerkte certificaten uitgegeven om de continuïteit van de Secure Boot-beveiliging op Windows-apparaten te garanderen. Microsoft beheert het updateproces voor deze nieuwe certificaten op een aanzienlijk deel van de Windows-apparaten. Daarnaast bieden we gedetailleerde richtlijnen voor organisaties die hun eigen apparaatupdates beheren.

Aanzet tot actie

Mogelijk moet u actie ondernemen om ervoor te zorgen dat uw Windows-apparaat veilig blijft wanneer de certificaten in 2026 verlopen. Zowel UEFI Secure Boot DB als KEK moeten worden bijgewerkt met de bijbehorende nieuwe certificaatversies voor 2023. Zie Windows Secure Boot Key Creation and Management Guidance voor meer informatie over de nieuwe certificaten.

Welke acties er worden uitgevoerd, is afhankelijk van het type Windows-apparaat dat u hebt. Selecteer in het menu aan de linkerkant het type apparaat en de specifieke actie die u wilt uitvoeren.

Informatiebronnen voor Microsoft-klantenondersteuning

Als u contact wilt opnemen met Microsoft Ondersteuning, raadpleegt u: