Uplynutie platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácie certifikačnej autority

Čo je bezpečné spustenie?

Secure Boot je funkcia zabezpečenia v firmvéri založenom na rozhraní Unified Extensible Firmware Interface (UEFI), ktorá pomáha zabezpečiť, aby sa počas spustenia (spustenia) zariadenia spustil iba dôveryhodný softvér. Funguje tak, že overí digitálny podpis softvéru pred spustením na množine dôveryhodných digitálnych certifikátov (známych aj ako certifikačná autorita alebo CERTIFIKAČNÁ autorita) uložených vo firmvéri zariadenia. Ako priemyselný štandard, UEFI Secure Boot definuje, ako platforma firmware spravuje certifikáty, overuje firmware, a ako operačný systém (OS) rozhrania s týmto procesom. Ďalšie informácie o UEFI a secure boot nájdete v časti Bezpečné spustenie.

Secure Boot bol prvýkrát zavedený v Windows 8 na ochranu pred vznikajúce pre-boot malware (tiež známy ako bootkit) hrozbu v tej dobe. V rámci inicializácie platformy secure boot overuje moduly firmvéru pred spustením. Tieto moduly zahŕňajú ovládače firmvéru UEFI (napríklad romy option), zavádzacie zariadenia a aplikácie. Ako posledný krok procesu zabezpečeného spustenia firmvér overí, či secure boot dôveruje zavádzaciemu systému. Potom firmvér odovzdá ovládanie zavádzaciemu nástroju, ktorý následne overí, načíta do pamäte a spustí operačný systém Windows.

Zabezpečené spustenie definuje dôveryhodný kód prostredníctvom politiky firmvéru nastavenej počas výroby. Zmeny tejto politiky, ako je napríklad pridanie alebo zrušenie certifikátov, sa riadia hierarchiou kľúčov. Táto hierarchia začína kľúčom platformy (PK), ktorý zvyčajne vlastní výrobca hardvéru, za ktorým nasleduje kľúč na registráciu kľúčov (KEK) (známy aj ako kľúč Key Exchange Key), ktorý môže zahŕňať Microsoft KEK a iné kódy KEM. Databáza povolených podpisov (DB) a zakázaná databáza podpisov (DBX) určujú, ktorý kód sa môže spustiť v prostredí UEFI pred spustením operačného systému. Databáza obsahuje certifikáty spravované spoločnosťou Microsoft a OEM, zatiaľ čo DBX aktualizuje spoločnosť Microsoft najnovšími zrušeniami. Každá entita s KEK môže aktualizovať db a DBX.

Vplyv uplynutia platnosti certifikátu zabezpečeného spustenia

Spoločnosť Microsoft aktualizuje certifikáty zabezpečeného spustenia, ktoré boli pôvodne vydané v roku 2011, aby sa zabezpečilo, že zariadenia s Windowsom budú aj naďalej overovať dôveryhodný softvér na spúšťanie. Platnosť týchto starších certifikátov sa začne plynúť v júni 2026. Zariadenia, ktoré nedostali novšie certifikáty verzie 2023, sa budú naďalej spúšťať a fungovať normálne a štandardné aktualizácie Windowsu sa budú naďalej inštalovať. Tieto zariadenia však už nebudú môcť prijímať nové ochrany zabezpečenia pre proces skorého spustenia vrátane aktualizácií správcu spúšťania systému Windows, databáz zabezpečeného spustenia, zoznamov zrušenia alebo zmiernení pre novoobjavené chyby na úrovni spustenia. 

V priebehu času to obmedzuje ochranu zariadenia pred novými hrozbami a môže ovplyvniť scenáre, ktoré závisia od dôveryhodnosti zabezpečeného spustenia, ako je napríklad stvrdnutie šifrovania BitLocker alebo zavádzacie servery tretích strán. Väčšina zariadení s Windowsom dostane aktualizované certifikáty automaticky a mnohé OEM v prípade potreby poskytujú aktualizácie firmvéru. Udržiavanie zariadenia v aktuálnom prúde s týmito aktualizáciami pomáha zabezpečiť, aby mohlo naďalej dostávať celú množinu zabezpečenia, ktoré je zabezpečené spustenie navrhnuté tak, aby poskytovalo.

Platnosť certifikátov zabezpečeného spustenia systému Windows vyprší v roku 2026

Keďže Systém Windows zaviedol podporu zabezpečeného spustenia, všetky zariadenia s Windowsom mali rovnakú množinu certifikátov spoločnosti Microsoft v systémoch KEK a DB. Tieto pôvodné certifikáty sa blížia k dátumu uplynutia platnosti a vaše zariadenie je ovplyvnené, ak má niektorú z uvedených verzií certifikátov. Ak chcete pokračovať v spúšťaní Windowsu a dostávaní pravidelných aktualizácií pre konfiguráciu zabezpečeného spustenia, budete musieť tieto certifikáty aktualizovať.

Terminológie

• KEK: Kľúč registrácie kľúčov

• CA: Certifikačná autorita

• DB: Databáza podpisu zabezpečeného spustenia

• DBX: Databáza zrušených podpisov zabezpečeného spustenia

Spoločnosť Microsoft vydala aktualizované certifikáty na zabezpečenie kontinuity zabezpečenia zabezpečeného spustenia v zariadeniach s Windowsom. Spoločnosť Microsoft bude spravovať proces aktualizácie týchto nových certifikátov vo významnej časti zariadení s Windowsom. Okrem toho vám ponúkneme podrobné pokyny pre organizácie, ktoré spravujú svoje vlastné aktualizácie zariadení.

Výzva na akciu

Po uplynutí platnosti certifikátov v roku 2026 bude možno potrebné vykonať kroky na zabezpečenie vášho zariadenia s Windowsom. Systém UEFI Secure Boot DB aj KEK je potrebné aktualizovať príslušnými novými verziami certifikátov 2023. Ďalšie informácie o nových certifikátoch nájdete v téme Pokyny na vytváranie a správu kľúča zabezpečeného spustenia systému Windows. 

Vaše akcie sa budú líšiť v závislosti od typu zariadenia s Windowsom, ktoré máte. Vyberte typ zariadenia a konkrétnu akciu, ktorú je potrebné vykonať, v ponuke na ľavej strane.