Förfallodatum för Windows Secure Boot-certifikat och CA-uppdateringar

Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs

  • Ursprungligt publiceringsdatum: Juni 26, 2025
  • KB-ID: 5062710
Ändringslogg
Ändra datum Ändra beskrivning
Den 18 maj 2026
  • Uppdaterade certifikattabellen i avsnittet "Windows Secure Boot-certifikat som upphör att gälla 2026" så att den innehåller månadens dag.
Den 5 maj 2026
  • Ett nytt avsnitt, "Microsoft Customer Support resources", har lagts till.
Den 3 februari 2026
  • Ett nytt avsnitt, "Effekten av förfallodatum för certifikat för säker start", har lagts till.
  • Tog bort anteckningarna som markerats som "Viktiga" ovanför och under avsnittet " Uppmaning till åtgärd".
Den 10 november 2025 Korrigerade två stavfel under "Nytt certifikat":
  • från Microsoft Corporation KEK CA 2023" till "Microsoft Corporation KEK 2K CA 2023"
  • och från "Microsoft Option ROM CA 2023" till "Microsoft Option ROM UEFI CA 2023"

Vad är Säker start?

Säker start är en säkerhetsfunktion i UEFI-baserad (Unified Extensible Firmware Interface) inbyggd programvara som säkerställer att endast betrodd programvara körs under en enhets startsekvens. Det fungerar genom att verifiera den digitala signaturen för förstartprogramvara mot en uppsättning betrodda digitala certifikat (kallas även certifikatutfärdare eller CA) som lagras i enhetens inbyggda programvara. Som branschstandard definierar UEFI Secure Boot hur plattformens inbyggda programvara hanterar certifikaten, autentiserar den inbyggda programvaran och hur operativsystemet (OS) interagerar med den här processen. Mer information om UEFI och säker start finns i Säker start.

Säker start introducerades först i Windows 8 för att skydda mot det framväxande hotet mot skadlig programvara före start (även känd som ett bootkit) vid den tiden. Som en del av plattformsinitieringen autentiserar säker start moduler för inbyggd programvara före körning. Dessa moduler inkluderar drivrutiner för inbyggd UEFI-programvara (till exempel alternativ-ROM), startprogram och program. Som det sista steget i processen för säker start verifierar den inbyggda programvaran om säker start litar på startprogrammet. Sedan skickar den fasta programvaran kontrollen till startprogrammet, som i sin tur verifierar, laddas in i minnet och startar Windows-operativsystemet.

Säker start definierar betrodd kod via en princip för inbyggd programvara som angetts under tillverkningen. Ändringar av den här principen, till exempel att lägga till eller återkalla certifikat, styrs av en hierarki med nycklar. Den här hierarkin börjar med plattformsnyckeln (PK), som vanligtvis ägs av maskinvarutillverkaren, följt av nyckelregistreringsnyckeln (KEK) (kallas även nyckelutbytesnyckel), som kan innehålla en Microsoft-KEK och andra OEM-KEK:er. Databasen med tillåtna signaturer (DB) och databasen med otillåtna signaturer (DBX) avgör vilken kod som kan köras i UEFI-miljön innan operativsystemet startar. Databasen innehåller certifikat som hanteras av Microsoft och OEM-tillverkaren, medan DBX uppdateras av Microsoft med de senaste återkallningarna. Alla entiteter med en KEK kan uppdatera DB och DBX.

Effekten av förfallodatum för certifikat för säker start

Microsoft uppdaterar Secure Boot-certifikaten som ursprungligen utfärdades 2011 för att säkerställa att Windows-enheter fortsätter att verifiera betrodd startprogramvara. Dessa äldre certifikat börjar löpa ut i juni 2026. Enheter som inte har fått de nyare certifikaten för 2023 fortsätter att starta och fungera normalt, och vanliga Windows-uppdateringar fortsätter att installeras. Dessa enheter kommer dock inte längre att kunna ta emot nya säkerhetsskydd för den tidiga startprocessen, inklusive uppdateringar av Windows Boot Manager, Secure Boot-databaser, återkallningslistor eller lösningar för nyligen upptäckta säkerhetsrisker på startnivå.

Med tiden begränsas enhetens skydd mot nya hot och kan påverka scenarier som förlitar sig på säker start, till exempel BitLocker-härdning eller startprogram från tredje part. De flesta Windows-enheter får de uppdaterade certifikaten automatiskt och många OEM-tillverkare tillhandahåller uppdateringar av inbyggd programvara vid behov. Genom att hålla enheten uppdaterad med dessa uppdateringar kan den fortsätta att få den fullständiga uppsättning säkerhetsskydd som Säker start är utformat för.

Windows Secure Boot-certifikat som upphör att gälla 2026

Sedan Windows introducerade stöd för säker start har alla Windows-baserade enheter haft samma uppsättning Microsoft-certifikat i KEK och DB. De ursprungliga certifikaten närmar sig förfallodatumet och enheten påverkas om den har någon av de angivna certifikatversionerna. Om du vill fortsätta att köra Windows och få regelbundna uppdateringar för konfigurationen av säker start måste du uppdatera dessa certifikat.

Termer

  • KEK: Nyckel för registrering
  • CA: Certifikatutfärdare
  • DB: Signaturdatabas för säker start
  • DBX: Säker start återkallad signaturdatabas
Certifikat som upphör att gälla Förfallodatum Nytt certifikat Lagringsplats Syfte
Microsoft Corporation KEK CA 2011 Juni 24, 2026 Microsoft Corporation KEK 2K CA 2023 Lagras i KEK Signerar uppdateringar för DB och DBX.
Microsoft Windows Produktion PCA 2011 Den 19 oktober 2026 Windows UEFI CA 2023 Lagras i DB Används för att signera Windows-startprogrammet.
Microsoft UEFI CA 2011*** Juni 27, 2026 Microsoft UEFI CA 2023 Lagras i DB Signerar startprogram och EFI-program från tredje part.
Microsoft UEFI CA 2011*** Juni 27, 2026 Microsoft Option ROM UEFI CA 2023 Lagras i DB Signerar alternativ-ROM från tredje part

Obs

*Vid förnyelse av Microsoft Corporation UEFI CA 2011-certifikatet separerar två certifikat signering av startprogrammet från option ROM-signering. På så sätt får du bättre kontroll över systemförtroendet. Till exempel kan system som måste lita på alternativ-ROM lägga till Microsoft Option ROM UEFI CA 2023 utan att lägga till förtroende för starthanterare från tredje part.

Microsoft har utfärdat uppdaterade certifikat för att säkerställa kontinuiteten i skyddet av säker start på Windows-enheter. Microsoft hanterar uppdateringsprocessen för dessa nya certifikat på en betydande del av Windows-enheterna. Dessutom erbjuder vi detaljerad vägledning för organisationer som hanterar egna enhetsuppdateringar.

Åtgärd krävs

Du kan behöva vidta åtgärder för att säkerställa att din Windows-enhet förblir säker när certifikaten upphör att gälla 2026. Både UEFI Secure Boot DB och KEK måste uppdateras med motsvarande nya certifikatversioner för 2023. Mer information om de nya certifikaten finns i Vägledning för skapande och hantering av nyckeln för Windows Secure Boot.

Dina åtgärder varierar beroende på vilken typ av Windows-enhet du har. Välj på menyn till vänster efter den typ av enhet och specifika åtgärder du behöver vidta.

Resurser för Microsofts kundsupport

För att kontakta Microsoft Support, se:

  • Microsoft Support och klicka sedan på Windows.

  • Support för företag och klicka sedan på Skapa för att skapa en ny supportbegäran.

    När du har skapat den nya supportbegäran bör den se ut så här:

    Skapa en ny supportbegäran