De bijna vervallen certificaten van Secure Boot op Windows 11 24H2 en 25H2 worden vervangen via een update.
Microsoft is begonnen met het automatisch vervangen van aflopende Secure Boot-certificaten op Windows 11 24H2 en 25H2-systemen. De maatregel moet voorkomen dat apparaten na de vervaldatum hun beveiligde opstartfunctionaliteit verliezen.
Certificaten verlopen in 2026
Secure Boot zorgt ervoor dat alleen vertrouwde software mag worden geladen tijdens het opstarten van een pc met UEFI (Unified Extensible Firmware Interface)-firmware. Dat gebeurt via digitale certificaten die in de firmware zijn opgeslagen. Microsoft waarschuwde IT-beheerders al in november dat de huidige certificaten vanaf juni 2026 verlopen. Zonder tijdige vervanging kan dat gevolgen hebben voor zowel de beveiliging als de beschikbaarheid van systemen.
Volgens Microsoft bevatten recente Windows-updates nu gerichte telemetrie om apparaten te identificeren die in aanmerking komen voor een automatische certificaatvervanging. Alleen systemen die voldoende succesvolle update-signalen vertonen, ontvangen de nieuwe Secure Boot-certificaten. Daarmee wil Microsoft het risico op verstoringen beperken en de uitrol gecontroleerd laten verlopen.
Risico’s bij uitstel
Bedrijven die de certificaten niet op tijd bijwerken, lopen het risico Secure Boot-bescherming en updates voor pre-bootcomponenten te verliezen. Dat kan ertoe leiden dat nieuwe bootloaders niet langer worden vertrouwd, met directe gevolgen voor de beveiliging van endpoints.
Veel apparaten worden automatisch bijgewerkt via Windows Update, maar bedrijven kunnen de certificaten ook handmatig uitrollen via registry-instellingen, groepsbeleid of Windows Configuration System. Microsoft adviseert om eerst een inventaris van apparaten te maken, de Secure Boot-status te controleren en eventuele firmware-updates van hardwareleveranciers toe te passen voordat de nieuwe certificaten worden geïnstalleerd.