Термін дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації

Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Примітка.

  • Дата початкової публікації: 26 червня 2025 р.
  • Ідентифікатор бази знань: 5062710
Журнал змін
Змінення дати Змінити опис
18 травня 2026 р.
  • Оновлено таблицю сертифікатів у розділі "Термін дії сертифікатів безпечного завантаження Windows, термін дії яких завершується в 2026 р.", додавши день місяця.
5 травня 2026 р.
  • Додано новий розділ "Ресурси служби підтримки користувачів корпорації Майкрософт".
3 лютого 2026 р.
  • Додано новий розділ "Вплив закінчення терміну дії сертифіката безпечного завантаження".
  • Прибрали примітки, позначені як «Важливі», вище і нижче розділу « Заклик до дії».
10 листопада 2025 р. Виправлено дві помилки в розділі "Новий сертифікат":
  • від Microsoft Corporation KEK CA 2023" до "Microsoft Corporation KEK 2K CA 2023"
  • і з "Microsoft Option ROM CA 2023" на "Microsoft Option ROM UEFI CA 2023"

Що таке безпечне завантаження?

Безпечне завантаження – це функція безпеки в мікропрограмі на основі інтерфейсу UEFI, яка допомагає забезпечити запуск тільки надійного програмного забезпечення під час послідовності завантаження (запуску) пристрою. Принцип його дії полягає в перевірці цифрового підпису програмного забезпечення на відповідність набору надійних цифрових сертифікатів (також відомих як центр сертифікації), що зберігаються в мікропрограмі пристрою. Як галузевий стандарт, UEFI Secure Boot визначає, як мікропрограма платформи керує сертифікатами, автентифікує мікропрограму та як операційна система (ОС) взаємодіє з цим процесом. Докладніші відомості про інтерфейс UEFI та безпечне завантаження див. в статті "Безпечне завантаження".

Безпечне завантаження вперше було представлено в Windows 8 році для захисту від загрози шкідливого програмного забезпечення перед завантаженням (також відомої як bootkit). В рамках ініціалізації платформи безпечне завантаження автентифікує модулі мікропрограми перед виконанням. Ці модулі включають драйвери мікропрограм інтерфейсу UEFI (наприклад, ПЗУ Option), завантажувальні пристрої та програми. Завершальним кроком процесу безпечного завантаження є перевірка мікропрограмою того, чи безпечно завантаження довіряє завантажувачу. Потім прошивка передає управління завантажувачу, який в свою чергу перевіряє, завантажується в пам'ять і запускає ОС Windows.

Безпечне завантаження визначає надійний код за допомогою політики мікропрограми, установленої під час виробництва. Зміни цієї політики, наприклад додавання або відкликання сертифікатів, контролюються ієрархією ключів. Ця ієрархія починається з ключа платформи (PK), який зазвичай належить виробнику обладнання, за ним іде ключ реєстрації ключа (KEK) (також відомий як ключ обміну ключами), який може включати Microsoft KEK та інші KEK від виробника. Дозволена база даних підписів (DB) і скасована база даних підписів (DBX) визначають, який код може виконуватися в середовищі UEFI перед запуском ОС. База даних містить сертифікати, якими керують корпорація Майкрософт і виробник обладнання, у той час як DBX оновлюється корпорацією Майкрософт з останніми відкликаннями. Будь-яка сутність із KEK може оновлювати базу даних і DBX.

Вплив завершення терміну дії сертифіката безпечного завантаження

Корпорація Майкрософт оновлює сертифікати безпечного завантаження, випущені в 2011 році, щоб забезпечити перевірку надійного програмного забезпечення для пристроїв Windows. Термін дії цих старих сертифікатів спливає в червні 2026 р. Пристрої, які не отримали нові сертифікати 2023 року, продовжать запускатися та працювати нормально, а стандартні оновлення Windows продовжуватимуть інсталюватися. Проте, ці пристрої більше не зможуть отримувати нові засоби захисту безпеки для процесу раннього завантаження, включно з оновленнями Диспетчера завантаження Windows, баз даних безпечного завантаження, списків відкликаних або засобів захисту від нещодавно виявлених вразливостей рівня завантаження.

З часом це обмежує захист пристрою від нових загроз і може вплинути на сценарії, які покладаються на довіру безпечного завантаження, наприклад посилення BitLocker або сторонні завантажувачі. Більшість пристроїв Windows автоматично отримають оновлені сертифікати, а багато виробників оригінального обладнання надають оновлення мікропрограм за потреби. Оновлення пристрою в актуальному стані гарантують, що він і надалі отримуватиме повний набір засобів захисту, які забезпечує функція безпечного завантаження.

Сертифікати безпечного завантаження Windows, термін дії яких завершується у 2026 р.

З того часу, як у Windows з'явилася підтримка безпечного завантаження, усі пристрої на базі Windows мають однаковий набір сертифікатів Microsoft у KEK і DB. Термін дії цих оригінальних сертифікатів скоро завершиться, і це вплине на пристрій, якщо на ньому є будь-яка з версій сертифікатів у списку. Щоб і надалі використовувати Windows і отримувати регулярні оновлення для конфігурації безпечного завантаження, потрібно оновити ці сертифікати.

Термінологія

  • КЕК: ключ реєстрації ключа
  • ЦА: Центр сертифікації
  • БД: База даних підписів безпечного завантаження
  • DBX: База даних відкликаних підписів безпечного завантаження
Сертифікат, термін дії якого завершується Дата завершення терміну чинності Новий сертифікат Розташування зберігання Мета
Microsoft Corporation KEK CA 2011 24 червня 2026 р. Microsoft Corporation KEK 2K CA 2023 Зберігається в KEK Підписи оновлюються для баз даних і DBX.
Microsoft Windows Production PCA 2011 19 жовтня 2026 р. Windows UEFI CA 2023 Зберігається в базі даних Використовується для підпису завантажувача Windows.
Microsoft UEFI CA 2011*** 27 червня 2026 р. Microsoft UEFI CA 2023 Зберігається в базі даних Підписи сторонніх завантажувачів і додатків EFI.
Microsoft UEFI CA 2011*** 27 червня 2026 р. Microsoft Option ROM UEFI CA 2023 Зберігається в базі даних Знаки сторонніх постачальників ПЗУ

Примітка.

*Під час оновлення сертифіката корпорації Microsoft UEFI CA 2011 два сертифікати відокремлюють підпис завантажувача від опції підписування ПЗУ. Це дає змогу точніше контролювати довіру до системи. Наприклад, системи, яким потрібно довіряти опційним ПЗУ, можуть додати Microsoft Option ROM UEFI CA 2023, не додаючи довіри стороннім завантажувачам.

Корпорація Майкрософт випустила оновлені сертифікати, щоб забезпечити безперервність захисту від безпечного завантаження на пристроях Windows. Корпорація Майкрософт керуватиме процесом оновлення цих нових сертифікатів для значної частини пристроїв Windows. Крім того, ми запропонуємо докладні інструкції для організацій, які керують оновленнями своїх пристроїв.

Заклик до дії

Можливо, вам доведеться вжити заходів, щоб забезпечити захист пристрою Windows після завершення терміну дії сертифікатів у 2026 р. Як базу даних безпечного завантаження UEFI, так і KEK необхідно оновити відповідними новими версіями сертифікатів 2023 року. Додаткові відомості про нові сертифікати див. у посібнику зі створення та керування ключами безпечного завантаження Windows.

Ваші дії залежать від типу пристрою Windows. Виберіть у меню ліворуч тип пристрою та дії, які потрібно виконати.

Ресурси служби підтримки клієнтів корпорації Майкрософт

Щоб звернутися до служби підтримки Microsoft, див.:

  • "Підтримка від Microsoft ", а потім виберіть пункт "Windows".

  • підтримки бізнесу , а потім клацніть " Створити ", щоб створити новий запит на підтримку.

    Створений запит на підтримку повинен мати такий вигляд:

    Створення нового запиту на підтримку