Sertifikat Windows Secure Boot kedaluwarsa dan pembaruan sertifikat

Sejak Windows mulai mendukung Secure Boot, sebagian besar perangkat Windows telah menggunakan serangkaian sertifikat Microsoft dalam database UEFI Secure Boot. Sertifikat-sertifikat sebelumnya ini akan mulai kedaluwarsa secara bertahap mulai tahun 2026. Untuk menjaga keamanan boot dan integritas rantai kepercayaan, sistem perlu diperbarui ke versi sertifikat Microsoft tahun 2023.

Jika sistem Anda saat ini telah mengaktifkan Secure Boot, pastikan sertifikat tersebut diperbarui sebelum kedaluwarsa pada pertengahan tahun 2026.

 

Apa yang Perlu Anda Lakukan?           
Anda hanya perlu menyelesaikan salah satu metode pembaruan berikut dan menunggu Windows Boot Manager yang baru:           
 

(Metode I) Melalui Pembaruan Otomatis Windows

Saat「Windows Update」diaktifkan dan sistem telah mengaktifkan Secure Boot (silakan lihat cara mengaktifkan Secure Boot), perangkat Windows yang didukung akan secara otomatis mengunduh dan menerapkan sertifikat Secure Boot baru dan Boot Manager baru pada waktu yang sesuai.

Pembaruan database Secure Boot baru telah diluncurkan secara bertahap ke perangkat dengan Secure Boot aktif sejak 2024 dan akan secara otomatis menyelesaikan pembaruan perangkat sebelum sertifikat kedaluwarsa pada Juni 2026.

Pengguna dengan pengaturan default biasanya tidak memerlukan tindakan manual tambahan.

[Aktifkan Windows Update untuk mendapatkan sertifikat baru]           

 

 

 

(Metode II) Perbarui UEFI BIOS Secara Manual

Pemberitahuan: Setelah memperbarui BIOS, Anda mungkin akan diminta untuk memasukkan kunci pemulihan BitLocker untuk membuka dan mengakses sistem operasi. Untuk langkah detailnya, silakan lihat artikel ini: Cara Menemukan Kunci BitLocker.
Anda juga bisa menonaktifkan Enkripsi Perangkat dan Enkripsi Standar BitLocker sebelum memperbarui BIOS, lalu mengaktifkan kembali enkripsi setelah pembaruan BIOS untuk melindungi keamanan data Anda. Untuk langkah detailnya, silakan lihat artikel ini: Pengenalan Enkripsi Perangkat dan Enkripsi Standar BitLocker.

Untuk Motherboard    

Anda juga dapat mengunduh dan memperbarui UEFI BIOS versi terbaru dari situs resmi ASUS untuk mendapatkan sertifikat Secure Boot yang telah diperbarui.

Metode ini lebih cocok untuk pengguna tingkat lanjut yang sudah terbiasa dengan proses pembaruan BIOS atau sistem yang tidak dapat menerima pembaruan melalui Windows Update secara normal.

1. Untuk mengunduh dan memperbarui ke versi terbaru UEFI BIOS dari situs resmi ASUS, Anda dapat merujuk ke: Cara Memperbarui BIOS

2. Hapus Secure Boot Keys           
2.1 Setelah memperbarui BIOS dan me-restart sistem, masuk kembali ke BIOS Setup, lalu pergi ke Advanced\Boot > Secure Boot.

Jika Secure Boot Mode adalah Standard, ubah menjadi Custom.

2.2 Klik Key Management.

2.3 Jalankan "Clear Secure Boot Keys".

Klik [Ya].

2.4 Pastikan semua UEFI Secure Boot keys (PK, KEK, DB, DBX) telah berhasil dihapus.

3. Instal Kunci Default Secure Boot           
3.1 Setelah menghapus Secure Boot Keys, jalankan "Instal Kunci Default Secure Boot."           

Klik [Ya].

3.2 Periksa bahwa Ukuran/Jumlah Kunci untuk PK/KEK/DB/DBX tidak 0 dan Sumber Kunci adalah [Default]. Proses pembaruan UEFI Secure Boot Keys sekarang sudah selesai.

 

Tanya & Jawab           
Pertanyaan 1: Bagaimana Cara Memeriksa Status UEFI Secure Boot Keys?           
Jawaban: Silakan ikuti langkah-langkah berikut:           
1. Pada halaman BIOS, pergi ke Advanced\Boot > Secure Boot > Key Management.           
2. Pilih item-item berikut secara berurutan lalu pilih "Hapus Kunci":           
➢ KEK Management           
➢ DB Management

3. Pilih "Tidak" di jendela prompt. (Catatan: Operasi ini hanya untuk menampilkan informasi Kunci; memilih "Ya" akan menghapus Kunci.)

4. Pastikan bahwa KEK Management berisi "Microsoft Corporation KEK 2K CA 2023".

5. Pastikan bahwa DB Management berisi baik "Microsoft UEFI CA 2023" maupun "Windows UEFI CA 2023".

Untuk Notebook

Anda juga dapat mengunduh dan memperbarui UEFI BIOS ke versi terbaru dari situs web resmi ASUS untuk mendapatkan sertifikat Secure Boot yang telah diperbarui.           
Metode ini lebih cocok untuk pengguna tingkat lanjut yang sudah terbiasa dengan proses pembaruan UEFI BIOS.           
1. Unduh dan perbarui UEFI BIOS ke versi terbaru dari situs web resmi ASUS. Anda dapat merujuk ke: Cara memperbarui BIOS di Windows.           
2. Atur Ulang ke Mode Pengaturan           
2.1 Setelah memperbarui BIOS, restart sistem dan masuk kembali ke BIOS Setup. Masuk ke Advanced\Boot > Secure Boot.           
2.2 Klik Manajemen Kunci.

2.3 Lakukan "Reset To Setup Mode".

2.4 Klik [Ya].

 

 

2.5 Pastikan semua kunci Secure Boot UEFI (PK, KEK, DB, DBX) telah berhasil dihapus.

3. Pulihkan Kunci Pabrik           
3.1 Lakukan "Restore Factory Keys".

          
3.2 Klik [Ya].

3.3 Periksa bahwa Ukuran/Jumlah Kunci untuk PK/KEK/DB/DBX tidak nol. 
Proses pembaruan UEFI Secure Boot Keys sekarang sudah selesai.

 
 

Q&A 
Pertanyaan 1: Bagaimana cara memeriksa status UEFI Secure Boot Keys? 
Jawaban: Silakan ikuti langkah-langkah berikut: 
1. Pada halaman BIOS, masuk ke Advanced\Boot > Secure Boot > Key Management. 
2. Pilih masing-masing item berikut lalu klik “Details”: 
➢ Key Exchange Keys (KEK) 
➢ Authorized Signatures (db)

3. Konfirmasi bahwa Key Exchange Keys (KEK) mencakup "Microsoft Corporation KEK 2K CA 2023"

.

4. Konfirmasi bahwa Authorized Signatures (db) mencakup baik "Microsoft UEFI CA 2023" maupun "Windows UEFI CA 2023".

Untuk AIOT

Pengguna dapat mengunduh dan memperbarui ke versi terbaru UEFI BIOS dari situs resmi ASUS untuk mendapatkan sertifikat Secure Boot yang telah diperbarui. Metode ini lebih cocok untuk pengguna tingkat lanjut yang sudah familiar dengan proses pembaruan BIOS, atau untuk sistem yang tidak dapat menerima pembaruan dengan benar melalui Windows Update.

Unduh dan perbarui ke versi terbaru UEFI BIOS dari situs resmi ASUS AIoT. Untuk petunjuk, Anda dapat merujuk ke:             
1. Unduh dan perbarui ke versi terbaru UEFI BIOS dari situs resmi ASUS AIoT. Untuk petunjuk, Anda dapat merujuk ke: Cara Memperbarui BIOS         
2. Instal Default Secure Boot Keys:         
2.1 Setelah memperbarui BIOS, mulai ulang sistem. Masuk kembali ke utilitas BIOS Setup dan arahkan ke Security > Secure Boot.

2.2 Jika Secure Boot Mode diatur ke Custom, harap ubah menjadi Standard.

2.3 Klik OK (untuk menerapkan "Install factory default in Key Management")

2.4 Klik Expert Key Management.

2.5 Pastikan bahwa Size/Number of Keys untuk PK, KEK, DB, dan DBX tidak nol.

 

Q&A           
Pertanyaan 1: Bagaimana cara memeriksa status UEFI Secure Boot Keys untuk memastikan bahwa sertifikat Microsoft 2023 sudah terpasang?           
Jawaban: Silakan ikuti langkah-langkah di bawah ini:

1. Jika Secure Boot Mode diatur ke Standard, ubah ke Custom.           

2. Klik OK.

3. Klik Expert Key Management.

4. Pilih Key Exchange Key (KEK) > Details.

5. Pastikan bahwa KEK Management mencakup "Microsoft Corporation KEK 2K CA 2023".

6. Pilih Authorized Signatures (db) > Details.

7. Pastikan bahwa DB Management berisi semua berikut ini: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023", dan "Microsoft Option ROM UEFI CA 2023".