De bijna vervallen certificaten van Secure Boot op Windows 11 24H2 en 25H2 worden vervangen via een update.
Microsoft is begonnen met het automatisch vervangen van aflopende Secure Boot-certificaten op Windows 11 24H2 en 25H2-systemen. De maatregel moet voorkomen dat apparaten na de vervaldatum hun beveiligde opstartfunctionaliteit verliezen. De huidige certificaten lopen af in juni.
Certificaten verlopen in 2026
Secure Boot zorgt ervoor dat alleen vertrouwde software mag worden geladen tijdens het opstarten van een pc met UEFI (Unified Extensible Firmware Interface)-firmware. Dat gebeurt via digitale certificaten die in de firmware zijn opgeslagen. Microsoft waarschuwde IT-beheerders al in november dat de huidige certificaten vanaf juni 2026 verlopen. Zonder tijdige vervanging kan dat gevolgen hebben voor zowel de beveiliging als de beschikbaarheid van systemen.
Microsoft schrijft in een blog dat het een normale procedure is om de certificaten na verloop van tijd te vernieuwen. De laatste keer dat dat gebeurde, was alweer vijftien jaar geleden. “Het buiten gebruik stellen van oude certificaten en het introduceren van nieuwe is een standaardpraktijk in de sector die helpt voorkomen dat verouderde inloggegevens een zwak punt worden en ervoor zorgt dat platforms blijven voldoen aan de moderne beveiligingsverwachtingen.”
Volgens Microsoft bevatten recente Windows-updates nu gerichte telemetrie om apparaten te identificeren die in aanmerking komen voor een automatische certificaatvervanging. Alleen systemen die voldoende succesvolle update-signalen vertonen, ontvangen de nieuwe Secure Boot-certificaten. Daarmee wil Microsoft het risico op verstoringen beperken en de uitrol gecontroleerd laten verlopen.
De meeste Windows-gebruikers zullen niets moeten doen: Secure Boot zal met een Windows-update automatisch worden vernieuwd. Voor een ‘fractie van apparaten’ is eerst een firmware-update nodig, omdat Secure Boot in de firmware zit ingebakken. De meeste nieuwe pc’s die in 2024 en 2025 zijn verschenen, worden al met up-to-date certificaten verscheept.
Risico’s bij uitstel
Bedrijven die de certificaten niet op tijd bijwerken, lopen het risico Secure Boot-bescherming en updates voor pre-bootcomponenten te verliezen. Dat kan ertoe leiden dat nieuwe bootloaders niet langer worden vertrouwd, met directe gevolgen voor de beveiliging van endpoints.
Veel apparaten worden automatisch bijgewerkt via Windows Update, maar bedrijven kunnen de certificaten ook handmatig uitrollen via registry-instellingen, groepsbeleid of Windows Configuration System. Microsoft adviseert om eerst een inventaris van apparaten te maken, de Secure Boot-status te controleren en eventuele firmware-updates van hardwareleveranciers toe te passen voordat de nieuwe certificaten worden geïnstalleerd.
Microsoft vernieuwt enkel Secure Boot op Windows-versies die het nog ondersteunt. Dat is vooral voor Windows 10-gebruikers van belang, als ze zich niet hebben ingeschreven voor het ESU-programma. Je apparaat zal blijven functioneren zonder Secure Boot, maar met bijkomende beveiligingsrisico’s.
lees ook
IT-professional blijft Windows 10 trouw (maar betaalt daar liever niet voor)
Dit artikel verscheen origineel op 14 januari 2026 en kreeg een update met de recentste informatie.