Windows cihazlarda kullanılan Secure Boot sertifikalarının süresi doluyor. Microsoft’un yeni sertifika güncellemesi hakkında bilmeniz gerekenler.
Windows cihazlarda kullanılan bazı Secure Boot sertifikalarının süresi Haziran 2026 itibarıyla dolmaya başlıyor. Microsoft, 2011 yılından bu yana kullanılan eski sertifikaları 2023 tarihli yeni sertifikalarla değiştiriyor.
Güncelleme süreci çoğu kullanıcı için Windows Update üzerinden otomatik ilerliyor. Ancak eski sistemler, kurumsal cihazlar, sunucular ve sanal makineler için ek işlemler gerekebiliyor.
Secure Boot, bilgisayar açılışında yalnızca güvenilir yazılım ve bileşenlerin çalışmasına izin veren bir güvenlik katmanı görevi görüyor. Sistem, UEFI firmware içinde saklanan dijital sertifikalarla bootloader ve sürücü gibi erken açılış bileşenlerini doğruluyor.
Sertifikalar neden yenileniyor?
Microsoft ekosisteminde uzun süredir kullanılan 2011 tarihli sertifikalar artık kullanım ömürlerinin sonuna yaklaşıyor. Microsoft Corporation KEK CA 2011 ve Microsoft UEFI CA 2011 sertifikalarının süresi Haziran 2026’da, Microsoft Windows Production PCA 2011 sertifikasının süresi ise Ekim 2026’da doluyor.
Bu sertifikalar Secure Boot zincirinde farklı görevler üstleniyor. KEK tarafı DB ve DBX güncellemelerini imzalamak için kullanılırken, DB tarafındaki sertifikalar Windows bootloader, üçüncü taraf bileşenler ve EFI uygulamaları için devreye giriyor.
Bu değişiklik, bilgisayarların Haziran 2026’da aniden açılmayacağı anlamına gelmiyor. Microsoft, güncellenmemiş cihazların bir süre normal şekilde çalışmaya devam edeceğini belirtiyor.
Ancak yeni sertifikaları almayan cihazlar, zaman içinde Windows Boot Manager ve Secure Boot veritabanlarına yönelik yeni güvenlik açıklarına karşı korumasız kalıyor. Bu durum, cihazları özellikle işletim sistemi başlamadan önce devreye giren saldırılara karşı daha zayıf hale getiriyor.
Microsoft, 2023 tarihli yeni sertifikaları desteklenen Windows sistemlerine Windows Update üzerinden kademeli olarak dağıtıyor. 2024 yılından bu yana üretilen birçok Windows bilgisayar bu yeni sertifikalarla birlikte geliyor.
Diğer cihazlarda süreç, Windows aylık güncellemeleri ve üreticilerin sunduğu BIOS/UEFI firmware güncellemeleriyle ilerliyor. Bazı sistemlerde yeni sertifikaların sorunsuz uygulanması için önce cihaz üreticisinin firmware güncellemesini yüklemek gerekiyor.
Kullanıcılar için kontrol süreci
Ev kullanıcılarının Windows Update’in açık olduğundan ve güncellemelerin duraklatılmadığından emin olması gerekiyor. Desteklenen Windows 10 ve Windows 11 sistemlerinde 2023 sertifikaları düzenli kanallar üzerinden kullanıcılara ulaşıyor.
Windows 10’un genel desteği 14 Ekim 2025’te sona erdiği için, güvenlik güncellemelerini almaya devam etmek isteyen kullanıcıların Extended Security Updates programına dahil olması önem taşıyor. Kullanıcılar Secure Boot durumunu Windows Güvenliği uygulaması üzerinden kontrol edebiliyor.
Uygulama içindeki Cihaz güvenliği bölümünde yeşil işaret cihazın korunduğunu gösteriyor. Ancak sadece yeşil işaret yeterli değil, ekranda sertifika güncellemelerinin uygulandığını belirten metnin de görünmesi gerekiyor.
İkinci yöntem olarak Windows + R tuşlarına basıp msinfo32 yazarak Sistem Bilgisi ekranına ulaşabilirsiniz. Burada Secure Boot State satırında özelliğin açık olması gerekiyor.
Microsoft, Secure Boot açıksa kapatılmamasını öneriyor çünkü bu ayar bazı sistemlerde güncellenmiş sertifikaların sıfırlanmasına yol açabiliyor. Kurumsal tarafta ise BT yöneticilerinin envanter takibi yapması ve pilot dağıtımlarla süreci yönetmesi öneriliyor.
Güncelleme sürecinde nadiren de olsa sistemin başlamaması veya BitLocker kurtarma ekranının gelmesi gibi durumlar yaşanabiliyor. Bu nedenle özellikle kurumsal cihazlarda BitLocker kurtarma anahtarlarının erişilebilir olduğundan emin olmak gerekiyor.
Bilgisayarınızın Secure Boot durumunu kontrol ettiniz mi?
