Masa berlaku sertifikat Secure Boot Windows dan pembaruan sertifikat

Sejak Windows mulai mendukung Secure Boot, sebagian besar perangkat Windows telah menggunakan serangkaian sertifikat Microsoft dalam database UEFI Secure Boot. Sertifikat-sertifikat lama ini akan mulai kedaluwarsa secara bertahap mulai tahun 2026. Untuk menjaga keamanan boot dan integritas rantai kepercayaan, sistem perlu diperbarui ke versi 2023 dari sertifikat Microsoft.

Jika sistem Anda saat ini telah mengaktifkan Secure Boot, pastikan sertifikat ini diperbarui sebelum kedaluwarsa pada pertengahan 2026.

 

Microsoft merekomendasikan untuk menyelesaikan pembaruan sertifikat Secure Boot melalui pembaruan Windows

Bagi sebagian besar pengguna, pembaruan yang diperlukan akan dikirimkan secara otomatis melalui Pembaruan Windows tanpa perlu tindakan dari pengguna.

Apakah pembaruan telah berhasil diterima dapat diverifikasi melalui Aplikasi Keamanan Windows, seperti dijelaskan di Status pembaruan sertifikat Secure Boot di aplikasi Keamanan Windows.

Ketika [Pembaruan Windows] diaktifkan dan sistem telah mengaktifkan Secure Boot (silakan merujuk ke cara mengaktifkan Secure Boot), perangkat Windows yang didukung akan secara otomatis mengunduh dan menerapkan sertifikat Secure Boot baru serta Boot Manager yang baru pada waktu yang sesuai.

Pembaruan database Secure Boot yang baru telah diluncurkan secara bertahap ke perangkat dengan Secure Boot yang diaktifkan sejak 2024 dan akan secara otomatis menyelesaikan pembaruan perangkat sebelum sertifikat kedaluwarsa pada Juni 2026.

[Aktifkan Pembaruan Windows untuk mendapatkan sertifikat baru]

 

Q&A

Pertanyaan 1: Bagaimana cara memeriksa status UEFI Secure Boot?

Jawaban 1: Silakan ikuti langkah-langkah berikut:

  1. Pada bilah pencarian Windows, ketik Windows Security.
  2. Pilih [Keamanan perangkat] dari menu sebelah kiri. Di bawah [Secure boot], Anda akan melihat indikator status. Ikon Secure boot ditandai dengan lencana hijau, kuning, atau merah, masing-masing mewakili status Secure boot saat ini pada sistem Anda.

 

Pertanyaan 2: Apa yang harus saya lakukan jika ikon Secure boot berwarna kuning atau merah?

Jawaban 2: Silakan merujuk pada langkah-langkah penyelesaian masalah yang dijelaskan di artikel: Troubleshooting - Secure Boot Icon Displays a Yellow or Red Badge.

 

Pertanyaan 3: Apa yang terjadi jika perangkat saya tidak mendapatkan sertifikat Secure Boot baru sebelum sertifikat lama kedaluwarsa?

Jawaban 3: Setelah sertifikat secure boot kedaluwarsa, perangkat yang belum menerima sertifikat 2023 yang baru masih dapat menyala dan beroperasi secara normal, dan pembaruan Windows standar akan tetap terpasang. Namun, perangkat-perangkat ini tidak akan bisa mendapatkan perlindungan keamanan baru selama proses boot awal, termasuk memperbarui administrator boot Windows, basis data secure boot, daftar pencabutan, atau langkah mitigasi untuk kerentanan tingkat boot yang baru ditemukan.

Seiring waktu, hal ini membatasi perlindungan perangkat terhadap ancaman baru yang muncul dan dapat memengaruhi skenario yang bergantung pada kepercayaan secure boot, seperti penguatan BitLocker atau boot loader pihak ketiga. Sebagian besar perangkat Windows akan secara otomatis menerima kredensial yang diperbarui, dan banyak produsen OEM juga akan menyediakan pembaruan firmware jika diperlukan. Selalu menjaga perangkat tetap terbarui membantu memastikan bahwa perangkat dapat terus menerima perlindungan keamanan lengkap yang dirancang untuk booting yang aman.

 

Pertanyaan 4: Apa dampak dari mematikan secure boot pada perangkat?

Jawaban 4: Perangkat yang mematikan secure boot tidak akan menerima kredensial secure boot baru dalam firmware. Oleh karena itu, perangkat akan tetap rentan terhadap malware lapisan boot (seperti bootkit) karena perlindungan secure boot tidak diterapkan.

 

Pertanyaan 5: Setelah mengatur ulang firmware ke pengaturan default, perangkat berhenti booting - apa yang terjadi? Bagaimana saya harus memperbaikinya?

Jawaban 5: Jika Windows sudah menggunakan boot manager bertanda tangan 2023, namun firmware direset ke nilai default yang tidak menyertakan sertifikat Windows UEFI CA 2023, secure boot akan memblokir proses boot.

Anda dapat merujuk ke FAQ:

[Notebook] Pemecahan Masalah - Kesalahan Secure Boot Violation saat Startup

 

Pertanyaan 6: Jika sertifikat Secure Boot pada perangkat saya sudah kedaluwarsa, apakah saya masih bisa menerima sertifikat yang diperbarui?

Jawaban 6: Ya. Meskipun kredensial yang ada telah kedaluwarsa, pembaruan kumulatif yang berisi kredensial secure boot baru masih dapat diterapkan. Jika perangkat dapat memulai Windows dan memasang pembaruan, kredensial yang diperbarui dapat ditulis ke dalam firmware sesuai pedoman penerapan yang dipublikasikan. Sebagian besar perangkat akan secara otomatis menerima pembaruan ini, namun beberapa sistem mungkin memerlukan pembaruan firmware tambahan.

 

Pertanyaan 7: Bagaimana cara memeriksa status UEFI Secure Boot Keys?

Jawaban 7: Silakan ikuti langkah-langkah berikut:

  1. Masukkan PowerShell di kotak pencarian sistem Windows. 
    Dalam hasil pencarian, klik pada ikon Windows PowerShell dan pilih Jalankan sebagai Administrator. 
  2. Pastikan bahwa Key Exchange Key (KEK) mencakup "Microsoft Corporation KEK 2K CA 2023" 
    Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    Jika True muncul, itu berarti sudah termasuk "Microsoft Corporation KEK 2K CA 2023" 
  3. Pastikan bahwa Signature Databases (DB) mencakup "Windows UEFI CA 2023" 
    Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    Jika True muncul, itu berarti sudah termasuk "Windows UEFI CA 2023" 
  4. Pastikan bahwa Signature Databases (DB) mencakup "Microsoft UEFI CA 2023" 
    Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    Jika True muncul, itu berarti sudah termasuk "Microsoft UEFI CA 2023" 

 

Pertanyaan 8: Apa yang harus saya lakukan jika saya menemukan pesan kesalahan TPM WMI (Event ID: 1801) di Event Viewer?

Jawaban 8: Alasan munculnya pesan kesalahan ini adalah karena kredensial secure boot telah diperbarui, namun belum diterapkan ke firmware perangkat.

Silakan jalankan Windows Update terlebih dahulu untuk memastikan build OS adalah 26100.6725 atau yang lebih baru, lalu lanjutkan dengan langkah-langkah yang diuraikan pada Pertanyaan 2.

Riwayat pembaruan Windows 11, versi 25H2.

 

Pertanyaan 9: Apa yang harus saya lakukan jika saya menemukan pesan kesalahan TPM WMI (Event ID: 1802) di Event Viewer?

Jawaban 9: Alasan munculnya pesan kesalahan ini adalah karena pembaruan boot sengaja diblokir karena perangkat sesuai dengan kondisi firmware atau perangkat keras yang diketahui, sehingga mencegah pembaruan selesai dengan aman.

Silakan laporkan masalah ini melalui pusat layanan ASUS.

 

Pertanyaan 10: Apa yang harus saya lakukan jika saya menemukan pesan kesalahan TPM WMI (Event ID: 1803) di Event Viewer?

Jawaban 10: Alasan munculnya pesan kesalahan ini adalah karena perangkat tidak dapat menemukan Key Exchange Key (KEK) yang ditandatangani oleh PK.

Silakan laporkan masalah ini melalui pusat layanan ASUS.

 

 

Referensi:

Masa berlaku sertifikat Windows Secure Boot dan pembaruan CA - Dukungan Microsoft  
Status pembaruan sertifikat Secure Boot di aplikasi Keamanan Windows  
Pertanyaan yang sering diajukan tentang proses pembaruan Secure Boot - Dukungan Microsoft  
Peristiwa pembaruan variabel Secure Boot DB dan DBX - Dukungan Microsoft  
Riwayat pembaruan Windows 11, versi 25H2 - Dukungan Microsoft