Opmerking
- Oorspronkelijke publicatiedatum: 26 juni 2025
- KB-id: 5062710
Wijzigingenlogboek
| Datum wijzigen | Beschrijving wijzigen |
|---|---|
| 18 mei 2026 |
|
| 5 mei 2026 |
|
| 3 februari 2026 |
|
| dinsdag 10 november 2025 | Twee typefouten gecorrigeerd onder "Nieuw certificaat":
|
Wat is beveiligd opstarten?
Beveiligd opstarten is een beveiligingsfunctie in op UEFI (Unified Extensible Firmware Interface) gebaseerde firmware die ervoor zorgt dat alleen vertrouwde software wordt uitgevoerd tijdens het opstarten (starten) van een apparaat. Dit werkt door de digitale handtekening van pre-boot software te verifiëren aan de hand van een set vertrouwde digitale certificaten (ook wel certificeringsinstantie of CA genoemd) die zijn opgeslagen in de firmware van het apparaat. Als industriestandaard definieert UEFI Secure Boot hoe platformfirmware de certificaten beheert, firmware verifieert en hoe het besturingssysteem (OS) met dit proces communiceert. Zie Beveiligd opstarten voor meer informatie over UEFI en beveiligd opstarten.
Beveiligd opstarten werd voor het eerst geïntroduceerd in Windows 8 om bescherming te bieden tegen de toen opkomende pre-boot malware (ook wel bekend als een bootkit). Als onderdeel van platforminitialisatie authenticeert Secure Boot firmwaremodules voordat ze worden uitgevoerd. Deze modules bevatten UEFI-firmwarestuurprogramma's (zoals optie-ROM's), opstartladers en toepassingen. Als laatste stap van het proces voor beveiligd opstarten controleert de firmware of beveiligd opstarten het opstartlaadprogramma vertrouwt. Vervolgens geeft de firmware de controle door aan de opstartlader, die op zijn beurt verifieert, in het geheugen laadt en het Windows-besturingssysteem start.
Beveiligd opstarten definieert vertrouwde code via een firmwarebeleid dat tijdens de productie is ingesteld. Wijzigingen in dit beleid, zoals het toevoegen of intrekken van certificaten, worden bepaald door een hiërarchie van sleutels. Deze hiërarchie begint met de Platform Key (PK), die meestal eigendom is van de hardwarefabrikant, gevolgd door de Key Enrollment Key (KEK) (ook wel Key Exchange Key genoemd), die een Microsoft KEK en andere OEM KEK's kan bevatten. De Allowed Signature Database (DB) en de Disallowed Signature Database (DBX) bepalen welke code kan worden uitgevoerd in de UEFI-omgeving voordat het besturingssysteem wordt gestart. De DB bevat certificaten die worden beheerd door Microsoft en de OEM, terwijl de DBX door Microsoft wordt bijgewerkt met de meest recente intrekkingen. Elke entiteit met een KEK kan de DB en DBX bijwerken.
De impact van het verlopen van Secure Boot-certificaat
Microsoft werkt de certificaten voor beveiligd opstarten die oorspronkelijk zijn uitgegeven in 2011 bij om ervoor te zorgen dat Windows-apparaten vertrouwde opstartsoftware blijven verifiëren. Deze oudere certificaten verlopen in juni 2026. Apparaten die niet de nieuwere 2023-certificaten hebben ontvangen, blijven normaal starten en werken, en standaard Windows-updates blijven geïnstalleerd. Deze apparaten kunnen echter geen nieuwe beveiligingsmaatregelen meer ontvangen voor het vroege opstartproces, inclusief updates voor Windows Boot Manager, Secure Boot-databases, intrekkingslijsten of oplossingen voor nieuw ontdekte kwetsbaarheden op opstartniveau.
Dit beperkt na verloop van tijd de bescherming van het apparaat tegen nieuwe bedreigingen en kan van invloed zijn op scenario's die afhankelijk zijn van de vertrouwensrelatie voor beveiligd opstarten, zoals BitLocker-beveiliging of bootloaders van derden. De meeste Windows-apparaten ontvangen de bijgewerkte certificaten automatisch en veel OEM's bieden firmware-updates wanneer dat nodig is. Door je apparaat up-to-date te houden met deze updates, zorg je ervoor dat het de volledige set beveiligingsmaatregelen kan blijven ontvangen die Beveiligd opstarten moet bieden.
Windows Secure Boot-certificaten verlopen in 2026
Sinds Windows ondersteuning voor beveiligd opstarten heeft geïntroduceerd, hebben alle Windows-apparaten dezelfde set Microsoft-certificaten in de KEK en DB. De vervaldatum van deze oorspronkelijke certificaten nadert en uw apparaat is getroffen als het een van de vermelde certificaatversies heeft. Als je Windows wilt blijven uitvoeren en regelmatig updates voor je secure boot-configuratie wilt ontvangen, moet je deze certificaten bijwerken.
Terminologie
- KEK: Sleutel voor inschrijving
- CA: Certificeringsinstantie
- DB: Handtekeningdatabase voor beveiligd opstarten
- DBX: Database met ingetrokken handtekeningen voor beveiligd opstarten
| Verlopend certificaat | Vervaldatum | Nieuw certificaat | Opslaglocatie | Doel |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 juni 2026 | Microsoft Corporation KEK 2K CA 2023 | Opgeslagen in KEK | Ondertekent updates voor DB en DBX. |
| Microsoft Windows Production PCA 2011 | 19 oktober 2026 | Windows UEFI CA 2023 | Opgeslagen in DB | Wordt gebruikt voor het ondertekenen van de Windows-opstartlader. |
| Microsoft UEFI CA 2011*** | 27 juni 2026 | Microsoft UEFI CA 2023 | Opgeslagen in DB | Ondertekent opstartladers van derden en EFI-toepassingen. |
| Microsoft UEFI CA 2011*** | 27 juni 2026 | Microsoft-optie ROM UEFI CA 2023 | Opgeslagen in DB | Ondertekent optie-ROM's van derden |
Opmerking
*Tijdens de vernieuwing van het Microsoft Corporation UEFI CA 2011-certificaat worden bootloader-ondertekening gescheiden van optie-ROM-ondertekening. Hierdoor is een nauwkeurigere controle over systeemvertrouwen mogelijk. Systemen die optie-ROM's moeten vertrouwen, kunnen bijvoorbeeld de Microsoft-optie ROM UEFI CA 2023 toevoegen zonder vertrouwen toe te voegen voor opstartladers van derden.
Microsoft heeft bijgewerkte certificaten uitgegeven om de continuïteit van de Secure Boot-beveiliging op Windows-apparaten te garanderen. Microsoft beheert het updateproces voor deze nieuwe certificaten op een aanzienlijk deel van de Windows-apparaten. Daarnaast bieden we gedetailleerde richtlijnen voor organisaties die hun eigen apparaatupdates beheren.
Aanzet tot actie
Mogelijk moet u actie ondernemen om ervoor te zorgen dat uw Windows-apparaat veilig blijft wanneer de certificaten in 2026 verlopen. Zowel UEFI Secure Boot DB als KEK moeten worden bijgewerkt met de bijbehorende nieuwe certificaatversies voor 2023. Zie Windows Secure Boot Key Creation and Management Guidance voor meer informatie over de nieuwe certificaten.
Welke acties er worden uitgevoerd, is afhankelijk van het type Windows-apparaat dat u hebt. Selecteer in het menu aan de linkerkant het type apparaat en de specifieke actie die u wilt uitvoeren.
Informatiebronnen voor Microsoft-klantenondersteuning
Als u contact wilt opnemen met Microsoft Ondersteuning, raadpleegt u:
Microsoft Ondersteuning en klik vervolgens op Windows.
Ondersteuning voor bedrijven en klik vervolgens op Maken om een nieuwe ondersteuningsaanvraag te maken.
Nadat u de nieuwe ondersteuningsaanvraag hebt gemaakt, ziet deze er als volgt uit: