Срок действия основы безопасности вашего ПК с Windows может истечь через 8 недель

Друзья, когда Microsoft ввела функцию Secure Boot на ПК с Windows в 2011 году, проблемы с истечением связанных сертификатов казались далеким будущим. Но вот 15 лет спустя, и тысячи сертификатов Secure Boot истекают в июне 2026 года. Это первый раз, когда они сталкиваются с дедлайном, и усилия Microsoft и ее партнеров-OEM по плавному переходу к новым сертификатам огромны.

В большинстве случаев вам, как пользователю, ничего делать не придется, когда дедлайн подойдет. Но для少数ства пользователей потребуется ручное вмешательство, чтобы сохранить ПК в полной безопасности. Давайте разберемся, как это работает. 😎

Что такое Secure Boot и зачем он на вашем ПК с Windows?

Secure Boot — это ключевой элемент безопасности Windows, который защищает ваш ПК от уязвимостей на этапе загрузки. Он обязателен для установки Windows 11, но отсутствие Secure Boot не значит, что ПК перестанет работать. Однако без него ваш ПК будет менее защищенным. Кроме того, отсутствие Secure Boot может мешать другим мерам безопасности, вроде TPM 2.0.

Функция существует с 2011 года, и подавляющее большинство ПК, проданных с тех пор (включая те, что с Windows 10), имеют Secure Boot и связанные сертификаты. Microsoft обновила Secure Boot новыми сертификатами UEFI CA 2023 в 2023 году, так что большинство ПК, купленных после этого, уже имеют обновленную версию.

Все остальное — это где могут возникнуть проблемы, когда оригинальные сертификаты истекут в июне 2026 года.

TL;DR: Secure Boot защищает ПК от уязвимостей на этапе загрузки. Для нормальной работы требуются специальные сертификаты.

Как Microsoft и ее партнеры-OEM справляются с истекающими сертификатами Secure Boot?

Microsoft понимает, что у нее потенциально огромная проблема, но она принимает проактивные меры для максимально плавного перехода.

Компания официально заявляет, что большинство современных ПК с Windows 11 автоматически получат новые сертификаты через Windows Update, как вы обычно обновляете систему.

Однако для некоторых выдающихся ПК потребуется обновление прошивки от OEM. В большинстве случаев их можно найти на специфических сайтах поддержки OEM.

Насколько далеко назад конкретный OEM решит зайти, покажет время. Бренды ПК обычно не предлагают значительную поддержку для систем, проданных 10+ лет назад; часто поддержка прекращается через 5 лет.

TL;DR: В некоторых случаях OEM должны выпустить специфические обновления прошивки, чтобы системы получили новые сертификаты Secure Boot.

Неподдерживаемые версии Windows не получат новые сертификаты Secure Boot

Microsoft четко заявила, что не будет выдавать обновленные сертификаты Secure Boot для неподдерживаемых версий Windows. Ваш ПК не перестанет работать внезапно, но не будет таким защищенным, как должен быть.

Вот официальное заявление Microsoft:

Важно отметить, что устройства с неподдерживаемыми версиями (Windows 10 и старше, за исключением тех, кто записан в Extended Security Updates) не получают обновлений Windows и не получат новые сертификаты. Мы продолжаем рекомендовать клиентам всегда использовать поддерживаемую версию Windows для лучшей производительности и защиты.

Ухудшенная безопасность — не единственный риск с отсутствием сертификатов Secure Boot. Из-за того, насколько эта функция интегрирована в Windows, истечение может привести к связанным сбоям драйверов и ПО со временем. По сути, если у вас нет ПК, который может запускать Windows 11, вам не повезло.

TL;DR: Если ваш ПК больше не официально поддерживается Microsoft (включая Windows 10 без ESU), он не получит новые сертификаты Secure Boot.

Нет регистрации в ESU для Windows 10? Нет новых сертификатов Secure Boot

Когда Microsoft отправила Windows 10 на свалку в октябре 2024, она сделала это с одним оговоркой: вы могли зарегистрироваться в программе Extended Security Update (ESU), чтобы получить еще один год поддержки.

Это важное отличие в дилемме с сертификатами Secure Boot, потому что ПК с Windows 10, записанные в ESU, должны получить обновленные сертификаты через Windows Update.

ПК с Windows 10, которые не записаны в ESU, не ожидается, что получат новые сертификаты.

Хорошая новость? Вы все еще можете записать свой ПК с Windows 10 в программу ESU, вплоть до дня перед дедлайном 14 октября.

Чтобы убедиться, что ПК, записанный в программу, получает обновленный сертификат Secure Boot, я рекомендую записаться сейчас (или хотя бы как можно скорее).

Как проверить, использует ли ваш ПК с Windows обновленный сертификат Secure Boot

Есть довольно простой способ проверить, использует ли ваш ПК новые сертификаты Secure Boot сейчас (спасибо BrenTech на YouTube за простой метод).

1. Введите PowerShell в строку поиска Windows.
2. Нажмите Запуск от имени администратора.

3. Скопируйте и вставьте следующую команду точно как показано: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)

Нажмите Enter, чтобы запустить команду, и вы увидите либо значение True, либо False ниже нее.

Если это True, ваш ПК уже имеет новые сертификаты Secure Boot. Если False, ваш ПК все еще использует старые сертификаты Secure Boot, которые истекут в июне.

Если ваш ПК с Windows 11 или Windows 10 (ESU) не имеет последних сертификатов Secure Boot, я рекомендую проверить наличие ожидающих обновлений Windows. Если это старая система, возможно, стоит поискать решения по прошивке от OEM.

Еще раз напомню, что ваш ПК не перестанет работать внезапно, если у него нет последних сертификатов. Однако у него будет ухудшенная безопасность и может начать вести себя непредсказуемо.

Принудительное применение новых сертификатов Secure Boot в Windows 11 без обновления прошивки

В центре изучения Microsoft есть интересная процедура, которая, по-видимому, позволяет обойти проблемы с прошивкой без ручного вмешательства в BIOS.

Даже если существующие сертификаты Secure Boot истекли или еще не применены, накопительные обновления, содержащие новые сертификаты Secure Boot 2023, все равно можно установить, и Windows может записать обновленные сертификаты в прошивку, следуя опубликованному руководству по развертыванию. Это относится к устройствам, которые могут загружать Windows и устанавливать обновления.

Это сгенерированный ИИ ответ помощи, но один комментарий говорит, что это сработало как рекламировалось.

Чтобы попробовать, вам сначала нужно иметь версию Windows 11 с изменениями Secure Boot. Приводится пример обновления обслуживания июля 2025 года.

С этим подтверждено, следуйте этим шагам:

1. Запустите Command Prompt от имени администратора.
2. Скопируйте и вставьте этот код в Command Prompt и нажмите Enter: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Вам придется перезагрузить ПК пару раз после запуска задачи. Затем вы можете проверить, установлены ли новые сертификаты Secure Boot правильно с помощью моего предыдущего руководства по PowerShell выше.

Предыдущая катастрофа Microsoft с электронными отходами все еще разворачивается по мере упадка Windows 10

Многие пользователи Windows все еще разбираются с последствиями процесса End-of-Life (EOL) для Windows 10, который начался 14 октября 2025 года.

По некоторым оценкам, это оставило около 400 миллионов ПК, которые не могли обновиться до Windows 11, с временной ESU-обновлением для неизвестного количества других.

Теперь, по мере истечения сертификатов Secure Boot, над экранами старых ПК, которые верные пользователи держали в работе гораздо дольше обычного, висит еще один топор.

Вы беспокоитесь об истечении сертификата Secure Boot на вашем ПК? Насколько стар система, и вы думали об обновлении до чего-то нового? Будете ли вы продолжать использовать старый ПК без правильного сертификата Secure Boot? Расскажите в комментариях ниже!

В эпоху, когда безопасность — это основа цифровой жизни, обновление сертификатов Secure Boot в 2026 году напоминает о необходимости timely миграции на поддерживаемые системы. Не рискуйте — обновитесь вовремя! Евгений (MSReview)