Microsoft începe reînnoirea certificatelor Secure Boot, adică a setului de chei și certificate din firmware care stabilesc ce este considerat de încredere la pornirea PC-ului. Practic, este o actualizare a ordinii de încredere folosite înainte ca Windows să pornească, pentru ca mecanismul Secure Boot să rămână compatibil cu standardele criptografice actuale și să nu se bazeze pe protecții vechi, ajunse la final de ciclu de viață.
Certificatele folosite încă pe multe sisteme provin din 2011 și încep să expire din iunie 2026, iar o parte din lanțul de încredere asociat Windows boot loader are termen până în octombrie 2026. Microsoft furnizează înlocuitorii din generația 2023 prin actualizările lunare pentru sistemele încă suportate. Instalarea pe scară largă (vizibilă pentru utilizatori) începe din martie 2026, dar distribuirea a început deja gradual prin update-urile lunare.
Pe cine afectează? Pentru utilizatorii obișnuiți, ținta principală este Windows 11, unde Microsoft spune că, în majoritatea cazurilor, actualizarea vine automat prin Windows Update. Pentru Windows 10, situația este diferită: sistemele care nu mai sunt suportate nu primesc aceste certificate noi, iar excepția explicit menționată este cazul PC-urilor înscrise în Extended Security Updates, adică Windows 10 cu ESU activ.
Ce se întâmplă dacă nu ai noile certificate? PC-ul pornește și funcționează în continuare. Problema este că intri într-o stare de securitate degradată la nivel de boot, ceea ce înseamnă că nu mai poți primi în viitor unele protecții de tip boot-level (mitigări care se aplică foarte devreme, înainte să se încarce Windows). Pe termen mai lung, Microsoft avertizează și despre posibile incompatibilități, pe măsură ce apar versiuni noi de firmware, hardware sau software care depind de Secure Boot. Microsoft spune că a lucrat cu OEM-uri precum Dell Technologies, HP Inc. și Lenovo tocmai pentru a reduce riscul de probleme la nivel de firmware, pentru că Secure Boot ține de UEFI și de conținutul stocat în firmware, nu doar de Windows ca software.
Ce trebuie să facă un utilizator de acasă? În cele mai multe cazuri, este suficient să lași actualizările lunare la zi și să verifici Windows Update, pentru că distribuirea este legată de update-urile regulate. Există însă un detaliu important: pentru o parte mai mică de dispozitive poate fi necesar un update de firmware de la producătorul PC-ului sau al plăcii de bază, înainte ca noile certificate livrate prin Windows Update să poată fi aplicate corect. Asta înseamnă, pragmatic, să verifici pe pagina OEM-ului dacă există un BIOS/UEFI mai nou pentru modelul tău, mai ales dacă ai un sistem mai vechi. Microsoft menționează că unele PC-uri fabricate din 2024 și aproape toate cele livrate în 2025 au deja certificatele noi preinstalate și, în mod normal, nu cer nicio intervenție.
Cum verifici starea instalării? Microsoft spune că, în lunile următoare, aplicația Windows Security va afișa mesaje despre stadiul actualizării certificatelor, astfel încât utilizatorii să poată vedea mai ușor dacă actualizarea a fost aplicată. Pentru cine administrează mai multe PC-uri, există și metode de inventariere și monitorizare mai tehnice (inclusiv chei de registry și instrumente dedicate), detaliate în documentația Microsoft și în playbook-ul pentru IT.
Cea mai simpla verificare, direct din Windows, este sa cauti daca in baza Secure Boot (UEFI db) exista deja certificatul Windows UEFI CA 2023.
Deschide PowerShell ca Administrator si ruleaza:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Daca iti da True, certificatul nou este prezent in db-ul activ (cel folosit la boot). Daca iti da False, nu e inca prezent (sau nu apare in forma asta in output).
Optional, poti verifica si copia de rezerva (dbdefault):
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
Tot True/False.
Daca vrei si status oficial al fluxului de instalare (mai ales pe sisteme IT-managed), Microsoft tine un status in registry. Ruleaza (PowerShell ca Administrator):
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' |
Select-Object UEFICA2023Status, UEFICA2023Error, WindowsUEFICA2023Capable
UEFICA2023Status = Updated inseamna ca update-ul s-a terminat cu succes.
WindowsUEFICA2023Capable = 1 inseamna ca certificatul Windows UEFI CA 2023 este in DB; 2 inseamna ca sistemul booteaza deja cu boot manager semnat 2023.
UEFICA2023Error trebuie sa nu aibă o valoare afișata (sau sa afișeze 0).
Daca Get-SecureBootUEFI iti da eroare gen “not supported”, de obicei inseamna ca nu esti in UEFI + Secure Boot (legacy/CSM) sau nu rulezi cu drepturi de admin.
