Obs
- Ursprungligt publiceringsdatum: Juni 26, 2025
- KB-ID: 5062710
Ändringslogg
| Ändra datum | Ändra beskrivning |
|---|---|
| Den 18 maj 2026 |
|
| Den 5 maj 2026 |
|
| Den 3 februari 2026 |
|
| Den 10 november 2025 | Korrigerade två stavfel under "Nytt certifikat":
|
Vad är Säker start?
Säker start är en säkerhetsfunktion i UEFI-baserad (Unified Extensible Firmware Interface) inbyggd programvara som säkerställer att endast betrodd programvara körs under en enhets startsekvens. Det fungerar genom att verifiera den digitala signaturen för förstartprogramvara mot en uppsättning betrodda digitala certifikat (kallas även certifikatutfärdare eller CA) som lagras i enhetens inbyggda programvara. Som branschstandard definierar UEFI Secure Boot hur plattformens inbyggda programvara hanterar certifikaten, autentiserar den inbyggda programvaran och hur operativsystemet (OS) interagerar med den här processen. Mer information om UEFI och säker start finns i Säker start.
Säker start introducerades först i Windows 8 för att skydda mot det framväxande hotet mot skadlig programvara före start (även känd som ett bootkit) vid den tiden. Som en del av plattformsinitieringen autentiserar säker start moduler för inbyggd programvara före körning. Dessa moduler inkluderar drivrutiner för inbyggd UEFI-programvara (till exempel alternativ-ROM), startprogram och program. Som det sista steget i processen för säker start verifierar den inbyggda programvaran om säker start litar på startprogrammet. Sedan skickar den fasta programvaran kontrollen till startprogrammet, som i sin tur verifierar, laddas in i minnet och startar Windows-operativsystemet.
Säker start definierar betrodd kod via en princip för inbyggd programvara som angetts under tillverkningen. Ändringar av den här principen, till exempel att lägga till eller återkalla certifikat, styrs av en hierarki med nycklar. Den här hierarkin börjar med plattformsnyckeln (PK), som vanligtvis ägs av maskinvarutillverkaren, följt av nyckelregistreringsnyckeln (KEK) (kallas även nyckelutbytesnyckel), som kan innehålla en Microsoft-KEK och andra OEM-KEK:er. Databasen med tillåtna signaturer (DB) och databasen med otillåtna signaturer (DBX) avgör vilken kod som kan köras i UEFI-miljön innan operativsystemet startar. Databasen innehåller certifikat som hanteras av Microsoft och OEM-tillverkaren, medan DBX uppdateras av Microsoft med de senaste återkallningarna. Alla entiteter med en KEK kan uppdatera DB och DBX.
Effekten av förfallodatum för certifikat för säker start
Microsoft uppdaterar Secure Boot-certifikaten som ursprungligen utfärdades 2011 för att säkerställa att Windows-enheter fortsätter att verifiera betrodd startprogramvara. Dessa äldre certifikat börjar löpa ut i juni 2026. Enheter som inte har fått de nyare certifikaten för 2023 fortsätter att starta och fungera normalt, och vanliga Windows-uppdateringar fortsätter att installeras. Dessa enheter kommer dock inte längre att kunna ta emot nya säkerhetsskydd för den tidiga startprocessen, inklusive uppdateringar av Windows Boot Manager, Secure Boot-databaser, återkallningslistor eller lösningar för nyligen upptäckta säkerhetsrisker på startnivå.
Med tiden begränsas enhetens skydd mot nya hot och kan påverka scenarier som förlitar sig på säker start, till exempel BitLocker-härdning eller startprogram från tredje part. De flesta Windows-enheter får de uppdaterade certifikaten automatiskt och många OEM-tillverkare tillhandahåller uppdateringar av inbyggd programvara vid behov. Genom att hålla enheten uppdaterad med dessa uppdateringar kan den fortsätta att få den fullständiga uppsättning säkerhetsskydd som Säker start är utformat för.
Windows Secure Boot-certifikat som upphör att gälla 2026
Sedan Windows introducerade stöd för säker start har alla Windows-baserade enheter haft samma uppsättning Microsoft-certifikat i KEK och DB. De ursprungliga certifikaten närmar sig förfallodatumet och enheten påverkas om den har någon av de angivna certifikatversionerna. Om du vill fortsätta att köra Windows och få regelbundna uppdateringar för konfigurationen av säker start måste du uppdatera dessa certifikat.
Termer
- KEK: Nyckel för registrering
- CA: Certifikatutfärdare
- DB: Signaturdatabas för säker start
- DBX: Säker start återkallad signaturdatabas
| Certifikat som upphör att gälla | Förfallodatum | Nytt certifikat | Lagringsplats | Syfte |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | Juni 24, 2026 | Microsoft Corporation KEK 2K CA 2023 | Lagras i KEK | Signerar uppdateringar för DB och DBX. |
| Microsoft Windows Produktion PCA 2011 | Den 19 oktober 2026 | Windows UEFI CA 2023 | Lagras i DB | Används för att signera Windows-startprogrammet. |
| Microsoft UEFI CA 2011*** | Juni 27, 2026 | Microsoft UEFI CA 2023 | Lagras i DB | Signerar startprogram och EFI-program från tredje part. |
| Microsoft UEFI CA 2011*** | Juni 27, 2026 | Microsoft Option ROM UEFI CA 2023 | Lagras i DB | Signerar alternativ-ROM från tredje part |
Obs
*Vid förnyelse av Microsoft Corporation UEFI CA 2011-certifikatet separerar två certifikat signering av startprogrammet från option ROM-signering. På så sätt får du bättre kontroll över systemförtroendet. Till exempel kan system som måste lita på alternativ-ROM lägga till Microsoft Option ROM UEFI CA 2023 utan att lägga till förtroende för starthanterare från tredje part.
Microsoft har utfärdat uppdaterade certifikat för att säkerställa kontinuiteten i skyddet av säker start på Windows-enheter. Microsoft hanterar uppdateringsprocessen för dessa nya certifikat på en betydande del av Windows-enheterna. Dessutom erbjuder vi detaljerad vägledning för organisationer som hanterar egna enhetsuppdateringar.
Åtgärd krävs
Du kan behöva vidta åtgärder för att säkerställa att din Windows-enhet förblir säker när certifikaten upphör att gälla 2026. Både UEFI Secure Boot DB och KEK måste uppdateras med motsvarande nya certifikatversioner för 2023. Mer information om de nya certifikaten finns i Vägledning för skapande och hantering av nyckeln för Windows Secure Boot.
Dina åtgärder varierar beroende på vilken typ av Windows-enhet du har. Välj på menyn till vänster efter den typ av enhet och specifika åtgärder du behöver vidta.
Resurser för Microsofts kundsupport
För att kontakta Microsoft Support, se:
Microsoft Support och klicka sedan på Windows.
Support för företag och klicka sedan på Skapa för att skapa en ny supportbegäran.
När du har skapat den nya supportbegäran bör den se ut så här: