Microsoft совместно с партнерами по производству оборудования приступил к плановой замене корневых сертификатов Secure Boot — механизма, верифицирующего целостность и доверенность загружаемого программного обеспечения до старта операционной системы. Действующие сертификаты 2011 года, обеспечивавшие безопасность загрузки на протяжении 15 лет, завершают жизненный цикл: их срок действия истекает в период с июня по октябрь 2026 года.

В качестве замены выпущены сертификаты 2023 года (Microsoft Corporation KEK 2K CA 2023, Windows UEFI CA 2023, Microsoft UEFI CA 2023) . На новых устройствах они уже присутствуют: на ПК, произведенных с 2024 года, сертификаты предустановлены выборочно, на всех устройствах 2025 года выпуска — по умолчанию . Для оборудования, находящегося в эксплуатации, обновление доставляется через Центр обновления Windows в составе ежемесячных накопительных обновлений. Ключевым пакетом для Windows 11 стало обновление KB5074109, выпущенное в январе 2026 года.

В случае если устройство не получит новые сертификаты до истечения срока действия старых, его работоспособность сохранится: операционная система продолжит загружаться, а приложения — функционировать . Однако система перейдет в состояние пониженной защищенности. Она утратит способность устанавливать будущие обновления безопасности, касающиеся загрузочного уровня, а новые операционные системы, загрузчики или оборудование, подписанные только актуальными сертификатами, могут не загружаться . Это также создает потенциальную возможность для внедрения руткитов (bootkit), использующих незакрытые уязвимости устаревшей цепочки доверия.

Для подавляющего большинства домашних пользователей и организаций, применяющих автоматическое управление обновлениями, процесс не требует вмешательства: система самостоятельно загрузит и применит сертификаты в фоновом режиме . Некоторой доле устройств может потребоваться отдельное обновление прошивки (UEFI BIOS) от производителя оборудования, поэтому Microsoft рекомендует убедиться в наличии актуальной версии BIOS на сайте OEM-вендора.

Корпоративным клиентам, управляющим обновлениями централизованно, доступны четыре стандартизированных метода развертывания: через реестр (ключ AvailableUpdates со значением 0x5944), групповые политики, WinCS или Microsoft Intune . Мониторинг прогресса осуществляется через анализ событий TPM-WMI: успешное применение подтверждается идентификаторами 1799 и 1808, незавершенное состояние индицирует код 1801 . В ближайшие месяцы Microsoft также планирует добавить индикатор статуса сертификатов Secure Boot непосредственно в приложение «Безопасность Windows».

Обновление не распространяется на неподдерживаемые версии операционной системы (Windows 10 без программы расширенных обновлений и более ранние) — они остаются без новых сертификатов.