Windows Güvenli Önyükleme sertifikasının süresi dolması ve CA güncelleştirmeleri

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • Orijinal yayınlama tarihi: 26 Haziran 2025
  • KB Kimliği: 5062710
Değişiklik Günlüğü
Tarihi Değiştir Açıklamayı Değiştir
Mayıs 18, 2026
  • "2026'da süresi dolan Windows Güvenli Önyükleme sertifikaları" bölümündeki sertifika tablosu ayın gününü içerecek şekilde güncelleştirildi.
Mayıs 5, 2026
  • "Microsoft Müşteri Desteği kaynakları" adlı yeni bir bölüm eklendi.
Şubat 3, 2026
  • "Güvenli Önyükleme sertifikasının süresinin dolmasının etkisi" adlı yeni bir bölüm eklendi.
  • "Eylem çağrısı" bölümünün üstünde ve altında "Önemli" olarak işaretlenmiş notlar kaldırıldı.
10 Kasım 2025 "Yeni Sertifika" altındaki iki yazım hatası düzeltildi:
  • Microsoft Corporation KEK CA 2023"ten "Microsoft Corporation KEK 2K CA 2023"e
  • ve "Microsoft Option ROM CA 2023"ten "Microsoft Option ROM UEFI CA 2023"e

Güvenli Önyükleme nedir?

Güvenli Önyükleme, Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) tabanlı üretici yazılımındaki bir güvenlik özelliğidir ve bir aygıtın önyükleme (başlangıç) sırasında yalnızca güvenilir yazılımların çalışmasını sağlamaya yardımcı olur. Önyükleme öncesi yazılımın dijital imzasını, aygıtın üretici yazılımında depolanan bir dizi güvenilir dijital sertifikayla (sertifika yetkilisi veya CA olarak da bilinir) karşılaştırarak doğrulayarak çalışır. Bir endüstri standardı olarak UEFI Güvenli Önyükleme, platform üretici yazılımının sertifikaları nasıl yönettiğini, ürün yazılımını nasıl doğruladığını ve işletim sisteminin (OS) bu işlemle nasıl arabirim oluşturduğunu tanımlar. UEFI ve Güvenli Önyükleme hakkında daha fazla bilgi için lütfen Güvenli önyükleme bölümüne bakın.

Güvenli Önyükleme, o dönemde ortaya çıkan önyükleme öncesi kötü amaçlı yazılım (bootkit olarak da bilinir) tehdidine karşı koruma sağlamak için ilk olarak Windows 8'de tanıtıldı. Platform başlatmanın bir parçası olarak Güvenli Önyükleme, yürütmeden önce üretici yazılımı modüllerinin kimliğini doğrular. Bu modüller, UEFI ürün yazılımı sürücülerini (Option ROM'lar gibi), önyükleyicileri ve uygulamaları içerir. Güvenli Önyükleme işleminin son adımı olarak, bellenim, Güvenli Önyükleme'nin önyükleyiciye güvenip güvenmediğini doğrular. Ardından, bellenim kontrolü önyükleyiciye geçirir, bu da doğrular, belleğe yüklenir ve Windows işletim sistemini başlatır.

Güvenli Önyükleme, güvenilir kodu, üretim sırasında ayarlanan bir bellenim ilkesi aracılığıyla tanımlar. Sertifikaların eklenmesi veya iptal edilmesi gibi ilke değişiklikleri bir anahtar hiyerarşisi tarafından denetlenir. Bu hiyerarşi, genellikle donanım üreticisine ait olan Platform Anahtarı (PK) ile başlar ve ardından Microsoft KEK ve diğer OEM KEK'leri içerebilen Anahtar Kayıt Anahtarı (KEK) (Anahtar Değişim Anahtarı olarak da bilinir) gelir. İzin Verilen İmza Veritabanı (DB) ve İzin Verilmeyen İmza Veritabanı (DBX), işletim sistemi başlatılmadan önce UEFI ortamında hangi kodun çalıştırılabileceğini belirler. DB, Microsoft ve OEM tarafından yönetilen sertifikaları içerirken, DBX Microsoft tarafından en son iptallerle güncelleştirilir. KEK'i olan herhangi bir varlık DB ve DBX'i güncelleyebilir.

Güvenli Önyükleme sertifikasının süresinin dolmasının etkisi

Microsoft, Windows cihazlarının güvenilir önyükleme yazılımını doğrulamaya devam etmesini sağlamak için ilk olarak 2011'de verilen Güvenli Önyükleme sertifikalarını güncelleştiriyor. Bu eski sertifikaların süresi Haziran 2026'da dolmaya başlayacak. Daha yeni 2023 sertifikalarını almamış cihazlar normal şekilde başlayıp çalışmaya devam eder ve standart Windows güncelleştirmeleri yüklenmeye devam eder. Ancak bu cihazlar artık Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veri tabanları, iptal listeleri veya yeni keşfedilen önyükleme düzeyi güvenlik açıklarına yönelik risk azaltıcı etkenler dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumalarını alamaz.

Zaman içinde bu, cihazın ortaya çıkan tehditlere karşı korumasını sınırlar ve BitLocker sağlamlaştırma veya üçüncü taraf önyükleyiciler gibi Güvenli Önyükleme güvenine dayanan senaryoları etkileyebilir. Çoğu Windows cihazı güncelleştirilmiş sertifikaları otomatik olarak alır ve birçok OEM gerektiğinde üretici yazılımı güncelleştirmeleri sağlar. Cihazınızı bu güncelleştirmelerle güncel tutmak, Güvenli Önyükleme'nin sağlamak üzere tasarlandığı tüm güvenlik korumalarını almaya devam edebilmesini sağlamaya yardımcı olur.

Windows Güvenli Önyükleme sertifikalarının süresi 2026'da dolacak

Windows, Güvenli Önyükleme desteğini kullanıma sunduğundan beri tüm Windows tabanlı cihazlar KEK ve DB'de aynı Microsoft sertifikası kümesini taşımıştır. Bu özgün sertifikaların son kullanma tarihleri yaklaşıyor ve cihazınız listelenen sertifika sürümlerinden herhangi birine sahipse bu durumdan etkilenecek. Windows'u çalıştırmaya ve Güvenli Önyükleme yapılandırmanıza yönelik düzenli güncelleştirmeleri almaya devam etmek için bu sertifikaları güncelleştirmeniz gerekir.

Terminoloji

  • KEK: Anahtar Kayıt Anahtarı
  • CA: Sertifika Yetkilisi
  • DB: Güvenli Önyükleme İmza Veritabanı
  • DBX: Güvenli Önyükleme İptal Edilen İmza Veritabanı
Süresi dolan sertifika Son kullanma tarihi Yeni Sertifika Depolama konumu Amaç
Microsoft Corporation KEK CA 2011 24 Haziran 2026 Microsoft Corporation KEK 2K CA 2023 KEK'te saklanır DB ve DBX güncellemelerini imzalar.
Microsoft Windows Production PCA 2011 19 Ekim 2026 Windows UEFI CA 2023 DB'de depolanır Windows önyükleyicisini imzalamak için kullanılır.
Microsoft UEFI CA 2011*** 27 Haziran 2026 Microsoft UEFI CA 2023 DB'de depolanır Üçüncü taraf önyükleyicileri ve EFI uygulamalarını işaretler.
Microsoft UEFI CA 2011*** 27 Haziran 2026 Microsoft Option ROM UEFI CA 2023 DB'de depolanır Üçüncü taraf seçenek ROM'larını imzalar

Not

*Microsoft Corporation UEFI CA 2011 sertifikasının yenilenmesi sırasında, iki sertifika önyükleyici imzasını seçenek ROM imzasından ayırır. Bu, sistem güveni üzerinde daha hassas denetim sağlar. Örneğin, seçenek ROM'larına güvenmesi gereken sistemler, üçüncü taraf önyükleyiciler için güven eklemeden Microsoft Option ROM UEFI CA 2023'ü ekleyebilir.

Microsoft, Windows cihazlarında Güvenli Önyükleme korumasının sürekliliğini sağlamak için güncelleştirilmiş sertifikalar yayımlamıştır. Microsoft, Windows cihazlarının önemli bir bölümünde bu yeni sertifikalara yönelik güncelleştirme sürecini yönetecektir. Ayrıca, kendi cihaz güncelleştirmelerini yöneten kuruluşlara yönelik ayrıntılı yönergeler de sunacağız.

Eylem çağrısı

Sertifikaların süresi 2026'da dolduğunda Windows cihazınızın güvenli kalmasını sağlamak için işlem yapmanız gerekebilir. Hem UEFI Secure Boot DB hem de KEK'in ilgili yeni 2023 sertifika sürümleriyle güncellenmesi gerekir. Yeni sertifikalar hakkında daha fazla bilgi için Windows Güvenli Önyükleme Anahtar Oluşturma ve Yönetim Kılavuzu'na bakın.

Eylemleriniz, sahip olduğunuz Windows cihazının türüne bağlı olarak değişir. Cihaz türü ve gerçekleştirmeniz gereken özel eylem için soldaki menüden seçim yapın.

Microsoft Müşteri Desteği kaynakları

Microsoft Desteği iletişim kurmak için bkz: