Microsoft heeft gebruikers er onlangs aan herinnerd dat het encryptiecertificaat dat wordt gebruikt voor Secure Boot in het Windows-ecosysteem op het punt staat een upgrade te ondergaan. Het initiële Secure Boot-certificaat, dat al meer dan 15 jaar wordt gebruikt sinds de lancering van Windows 8, verloopt in juni 2026 en moet worden vervangen door een nieuw certificaat om de veiligheid tijdens de opstartfase van het systeem te behouden.
Secure Boot is een beveiligingsfunctie op firmwareniveau die is geïntroduceerd als onderdeel van de UEFI-specificatie. Het belangrijkste doel is om te voorkomen dat potentieel kwaadaardige opstartcode wordt geladen voordat het besturingssysteem start. Daarom moet de vertrouwensbasis (certificaten en sleutels) regelmatig worden bijgewerkt om te voorkomen dat oude inloggegevens een zwak punt worden bij aanvallen als gevolg van cryptografische veroudering. Nuno Costa, programmamanager van de Windows Services and Delivery Department van Microsoft, zei in de officiële blog dat het intrekken van oude certificaten en het introduceren van nieuwe certificaten een standaardpraktijk is in de branche en ervoor zorgt dat het platform altijd voldoet aan de moderne beveiligingsverwachtingen.
Microsoft heeft in 2023 een nieuwe versie van het Secure Boot-certificaat uitgebracht, maar het oorspronkelijke certificaat is sinds Windows 8 verantwoordelijk voor het valideren van het opstartproces. Gebruikers en ondernemingen kunnen nieuwe certificaten verkrijgen via verschillende vertrouwde kanalen, waaronder UEFI-firmware-updates die zijn uitgebracht door moederbordfabrikanten. Tegelijkertijd zal Microsoft de nieuwe certificaten ook integreren in maandelijkse patches en beveiligingsupdates, die automatisch via Windows Update worden verspreid. Enterprise-omgevingen kunnen verschillende beheertools gebruiken om het push-proces aan te passen. Microsoft beschrijft deze certificaatupdate als een van de grootste gecoördineerde beveiligingsonderhoudsoperaties in het Windows-ecosysteem.
Omdat Secure Boot op de firmwarelaag draait en rechtstreeks van invloed is op de manier waarop de pc opstart, vereist deze upgrade dat Microsoft nauw samenwerkt met hardwarefabrikanten, OEM's en andere partners om de firmware voor miljoenen Windows-apparaten bij te werken om kettingreacties zoals wijdverbreide opstartfouten te voorkomen. Apparaten die zich nog in de ondersteuningscyclus van Microsoft bevinden (inclusief Windows 11- en Windows 10-machines die deelnemen aan het Extended Security Update Program) kunnen het nieuwe certificaat ontvangen via Windows Update, terwijl oudere pc's deze update niet kunnen installeren en relatief minder veilig zullen zijn.
Costa wees erop dat apparaten die nog steeds afhankelijk zijn van het oude certificaat uit 2011 op korte termijn nog steeds normaal zullen opstarten, maar zullen worden beschouwd als in een "gedowngrade" beveiligingsstatus, en dat dergelijke apparaten in de toekomst mogelijk geen nieuwe beveiligingsmogelijkheden op firmwareniveau zullen krijgen. Als er nieuwe kwetsbaarheden in de opstartlaag worden ontdekt en de overeenkomstige beperkende maatregelen niet kunnen worden geïnstalleerd, zal de blootstelling van gerelateerde systemen blijven toenemen en op de lange termijn zelfs compatibiliteitsproblemen kunnen veroorzaken. Geüpdatete besturingssystemen, firmware, hardware of software die afhankelijk is van Secure Boot kunnen bijvoorbeeld niet worden geladen. Pc-fabrikanten zoals Dell hebben instructies gegeven om te controleren of het systeem het nieuwe Secure Boot-certificaat ondersteunt, zodat gebruikers de status van hun apparaten kunnen bevestigen.
Voor computers waarop Secure Boot helemaal niet is ingeschakeld, wordt de dagelijkse bedrijfsvoering doorgaans niet direct beïnvloed. Secure Boot heeft sinds de oprichting echter met veel ernstige beveiligingsincidenten te maken gehad, waaronder "PKfail", waardoor uitdagingen op het gebied van implementatie en beheer aan het licht kwamen. Niettemin wordt dit mechanisme steeds meer een verplichte vereiste voor sommige online games en MOBA's, wat betekent dat gebruikers die Linux of ouder gebruiken maar nog steeds voldoende krachtige gaminghardware hebben, te maken kunnen krijgen met uitsluiting of hogere toetredingsdrempels bij deelname aan deze nieuwe generatie games.