Около трех месяцев назад Microsoft опубликовала запись в блоге о скором истечении сертификатов Secure Boot и объяснила, почему эта тема важна и что следует знать пользователям. Теперь, по мере приближения «дня Х», компания выпустила новый документ поддержки с дополнительными подробностями.
Microsoft представила Secure Boot в 2011 году как новый метод, гарантирующий запуск компьютера только с проверенной прошивкой и доверенным загрузчиком. Позже Secure Boot стал одним из обязательных аппаратных требований Windows 11 наряду с модулем TPM — частью стремления компании повысить безопасность устройств.
Первые сертификаты Secure Boot действуют 15 лет, и срок их истечения придется на июнь 2026 года. Это серьезная проблема: без актуальных сертификатов Windows не сможет устанавливать определенные обновления, что оставит систему уязвимой для BootKit-вирусов и другого вредоносного ПО.
Под угрозу попадают физические и виртуальные машины (VM) с поддерживаемыми версиями Windows 10, Windows 11, Windows Server 2025/2022/2019/2016/2012/2012 R2. Copilot+ ПК, выпущенные в 2025 году, не затронуты.
Чтобы избежать проблем, Microsoft рекомендует обновить сертификаты на всех устройствах, выпущенные в 2023 году:
| Дата истечения | Истекающий сертификат | Обновлённый сертификат | Назначение | Место хранения |
|---|---|---|---|---|
| Июнь 2026 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Подписывает обновления DB и DBX | Key Enrollment Key (KEK) |
| Microsoft Corporation UEFI CA 2011 (или сторонний UEFI CA) |
|
|
База разрешённых подписей (DB) | |
| Октябрь 2026 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Подписывает загрузчик Windows и компоненты загрузки |
Обновление сертификатов — не то, чем занимается рядовой пользователь. Поэтому Microsoft подготовила подробный раздел FAQ с ответами на все возможные вопросы о просроченных сертификатах и необходимых действиях. Владельцам домашних ПК, которые получают обновления через Центр обновления Windows, можно особо не переживать — компания установит все нужные обновления в фоновом режиме.
Если вы пользуетесь Windows 10 и не планируете переходить на Windows 11, нужно обязательно подключиться к программе расширенных обновлений безопасности (Extended Security Updates), чтобы получить обновленные сертификаты. Исключение — поддерживаемые версии Windows 10 LTSC/LTSB: они продолжат получать обновления безопасности и после 14 октября 2025 года. Microsoft подчеркивает, что неподдерживаемые версии Windows новых сертификатов Secure Boot не получат.
В FAQ также затронут вопрос обновления с Windows 10 LTSC на Windows 11 LTSC при отключенном Secure Boot и истекшем сертификате. Microsoft поясняет, что такие устройства не получат новые сертификаты, и пользователям придется «следовать конкретным шагам миграции, актуальным на тот момент», чтобы их системы имели сертификаты образца 2023 года.
Еще одна важная ситуация, описанная в документе, касается ПК, которые перестают загружаться после сброса прошивки. Microsoft объясняет: если система уже использует Диспетчер загрузки с сертификатами 2023 года, то после сброса настроек прошивки к заводским, где нет сертификата Windows UEFI CA 2023, загрузка прекратится. Эту проблему можно решить повторным применением сертификата с помощью загрузочной флешки (подробные инструкции есть в документе).
Полный список вопросов и ответов о сертификатах Secure Boot с истекающим сроком действия можно найти в официальном документе Microsoft – перевод представлен ниже.
Часто задаваемые вопросы о процессе обновления Secure Boot
Дата первоначальной публикации: 15 сентября 2025 г.
KB ID: 5068008
Общие вопросы и ответы по Secure Boot
В1: Когда следует обновлять сертификаты Secure Boot?
Лучше всего обновить сертификаты Secure Boot задолго до их истечения в июне 2026 года. Если ваше устройство управляется Microsoft и отправляет диагностические данные, сертификаты будут обновлены автоматически, когда они станут доступны. Если устройство не отправляет диагностические данные и управляется ИТ-отделом организации или самим пользователем, тогда обновление выполняется по инструкции Microsoft в Windows Secure Boot certificate expiration and CA updates.
В2: Как обновляются сертификаты Secure Boot?
На компьютерах под управлением Microsoft сертификаты обновляются через Центр обновления Windows. Если обновлением занимается ИТ-администратор организации, он может использовать указания из Windows Secure Boot certificate expiration and CA updates.
В3: Что произойдёт, если не обновить сертификаты до истечения срока действия?
Компьютер продолжит загружать Windows, даже если сертификаты не обновлены. Однако система перестанет получать некоторые обновления безопасности, включая исправления для Диспетчера загрузки и компонентов Secure Boot. Это подвергнет устройство риску заражения BootKit-вредоносным ПО, которое способно полностью контролировать компьютер.
В4: Что будет с системами Windows 10 после завершения программы расширенных обновлений безопасности (ESU) 14 октября 2025 года?
Поддержка Windows 10 завершится 14 октября 2025 года. Подробнее см. здесь.
Чтобы и дальше получать обновления безопасности, пользователи Windows 10 могут:
- Подключиться к программе Windows 10 Extended Security Updates (ESU), см. Windows 10 Extended Security Updates (ESU) Program
- Если используется поддерживаемая версия Windows 10 LTSC, обновления безопасности будут выходить до конца её жизненного цикла. Подробнее: Windows 10 LTSC 2021
Примечание:
- Windows 10 Enterprise LTSC можно приобрести отдельно или в составе подписки Windows Enterprise E3.
- Windows IoT Enterprise LTSC приобретается у OEM-производителей или через лицензированного поставщика.
В5: Как поведут себя устройства без доступа к Интернету, которые не получат обновления Secure Boot?
Такие компьютеры будут продолжать работу на текущей версии Windows. Чтобы повысить уровень безопасности, потребуется подключение к Интернету и наличие поддерживаемой ОС.
В6: Что произойдёт, если обновления Secure Boot уже установлены, а Центр обновления Windows снова попытается их применить?
Программа установки проверяет сертификаты. Если они уже обновлены до версии 2023 года, повторное обновление не будет предлагаться.
Вопросы и ответы для ИТ-специалистов и администраторов
В1: Что можно сделать для сохранения работы Secure Boot на старых ПК, для которых производитель не выпускает обновления прошивки?
Есть два варианта:
- Если компьютер управляется Microsoft и ОС поддерживается, компания попытается обновить сертификаты автоматически.
- Если устройство администрируется организацией, обновления можно применить вручную, используя рекомендации Windows Secure Boot certificate expiration and CA updates.
Однако на некоторых устройствах из-за ошибок в прошивке обновления могут не применяться. В таких случаях следует использовать прошивки от OEM.
Примечание: Активные переменные Secure Boot применяются через ОС, а значения по умолчанию задаются в прошивке. Менять конфигурацию Secure Boot вручную не рекомендуется без официального обновления от производителя.
В2: Можно ли установить новую версию Windows на компьютере с просроченными сертификатами Secure Boot?
Да, если устройство соответствует требованиям Windows 11. Однако защита Secure Boot будет работать в ограниченном режиме.
В3: Что произойдёт при обновлении Windows 10 LTSC без включённого Secure Boot до Windows 11 LTSC после истечения сертификатов?
Если Secure Boot отключён, такие устройства не включены в текущий процесс распространения новых сертификатов. При обновлении до Windows 11 LTSC придётся выполнить специальные шаги миграции, чтобы добавить сертификаты 2023 года.
В4: Где найти новые центры сертификации (CA) 2023 года?
Они доступны в Windows Secure Boot Key Creation and Management Guidance.
В5: Получат ли обновлённые сертификаты неподдерживаемые версии Windows?
Нет, обновления сертификатов будут доступны только для поддерживаемых версий Windows.
В6: Что будет с устройством без новых сертификатов после истечения старых?
Компьютер продолжит загружаться, но перестанет получать обновления безопасности для Диспетчера загрузки и компонентов Secure Boot. Это делает систему уязвимой для BootKit-вредоносных программ.
В7: Как обрабатываются обновления Secure Boot в виртуальных средах?
Есть два сценария:
- Создатель виртуальной среды (AWS, Azure, Hyper-V, VMware и др.) обновляет прошивку виртуальных машин, добавляя новые сертификаты — это подходит для новых ВМ.
- Для существующих ВМ обновления можно установить через Windows, если виртуальная прошивка поддерживает Secure Boot.
В8: Почему Microsoft не может развернуть обновления через Controlled Feature Rollout (CFR) в корпоративных средах?
Такие среды часто не предоставляют достаточный объём диагностических данных. Кроме того, ИТ-отделы предпочитают самостоятельно контролировать процесс обновления для соблюдения стабильности и совместимости с внутренними инструментами.
В9: Устройство перестало загружаться после сброса прошивки на заводские настройки — что произошло и как это исправить?
Если Windows уже использует Диспетчер загрузки, подписанный в 2023 году, а прошивка была сброшена и не содержит сертификата Windows UEFI CA 2023, Secure Boot заблокирует запуск.
Чтобы исправить проблему, нужно заново применить сертификат 2023 года с помощью загрузочной флешки. Для этого создаётся recovery-носитель, с которого запускается система, и в прошивку добавляется недостающий сертификат.
Пошаговые инструкции см. в официальной документации Microsoft.
Последние статьи #Windows
• Сертификаты Windows Secure Boot скоро истекут — что это значит для пользователей
• Microsoft Copilot: тестирование новых функций поиска, отслеживания покупок и интеграции с Google Drive
• Microsoft тестирует проверку скорости интернета в трее Windows 11, но в России функция работать не будет
• Microsoft переносит еще больше элементов Панели управления в приложение «Параметры» в Windows 11
• Microsoft сняла блокировку установки Windows 11, версия 24H2 для устройств с Dirac Audio
• AMD опубликовала руководство по решению проблем с драйверами чипсета и графики в Windows 10 и Windows 11