Windows Secure Boot certificaatvervaldatum en certificaatupdates

Sinds Windows Secure Boot ondersteunt, hebben de meeste Windows-apparaten een reeks Microsoft-certificaten in de UEFI Secure Boot-database gebruikt. Deze eerdere certificaten zullen geleidelijk beginnen te verlopen vanaf 2026. Om boot-beveiliging en de integriteit van de vertrouwensketen te behouden, moeten systemen worden bijgewerkt naar de 2023-versie van Microsoft-certificaten.

Als Secure Boot momenteel is ingeschakeld op uw systeem, zorg er dan voor dat deze certificaten zijn bijgewerkt voordat ze in het midden van 2026 verlopen.

 

Microsoft raadt aan om de Secure Boot-certificaten bij te werken via Windows Update

Voor de meeste gebruikers worden de benodigde updates automatisch geleverd via Windows Updates en is geen actie van de gebruiker vereist.

Of de updates succesvol zijn ontvangen, kan worden gecontroleerd via de Windows Security App, zoals beschreven in status van Secure Boot-certificaatupdate in de Windows Security app.

Wanneer「Windows Update」is ingeschakeld en het systeem Secure Boot geactiveerd heeft (zie hoe Secure Boot te activeren), zullen ondersteunde Windows-apparaten automatisch de nieuwe Secure Boot-certificaten en nieuwe Boot Manager downloaden en toepassen op het juiste moment.

De nieuwe Secure Boot-database-update is gefaseerd uitgerold naar apparaten met Secure Boot ingeschakeld sinds 2024 en zal automatisch het apparaat bijwerken voordat het certificaat verloopt in juni 2026.

[Windows Update inschakelen om nieuwe certificaten te verkrijgen]

 

V&A

Vraag 1: Hoe kan ik de status van UEFI Secure Boot controleren?

Antwoord 1: Volg alstublieft de onderstaande stappen:

  1. Typ in de Windows zoekbalk Windows Security
  2. Selecteer [Apparaatbeveiliging] uit het menu aan de linkerkant. Onder [Secure boot] ziet u een statusindicator. Het Secure boot pictogram is gemarkeerd met een groen, geel of rood embleem, die elk de huidige staat van Secure boot op uw systeem weergeven. 

 

Vraag 2: Wat moet ik doen als het Secure boot pictogram geel of rood is?

Antwoord 2: Raadpleeg de oplossingsstappen die in het artikel worden beschreven: Probleemoplossing - Secure Boot Pictogram geeft een Geel of Rood Embleem weer.

 

Vraag 3: Wat gebeurt er als mijn apparaat geen nieuw Secure Boot-certificaat ontvangt voordat het oude certificaat verloopt?

Antwoord 3: Nadat het beveiligingsbootcertificaat verloopt, kunnen apparaten die het nieuwe 2023-certificaat nog niet hebben ontvangen nog steeds normaal starten en werken, en standaard Windows-updates blijven geïnstalleerd worden. Echter, deze apparaten kunnen geen nieuwe beveiligingsbescherming verkrijgen tijdens het vroege opstartproces, waaronder het bijwerken van Windows boot administrators, secure boot databases, revocatielijsten of maatregelen tegen nieuw ontdekte kwetsbaarheden op bootniveau.

Na verloop van tijd beperkt dit de bescherming van het apparaat tegen opkomende bedreigingen en kan het gevolgen hebben voor scenario's die vertrouwen op secure boot, zoals BitLocker-versterking of bootloaders van derden. De meeste Windows-apparaten zullen automatisch bijgewerkte credentials ontvangen, en veel OEM-fabrikanten zullen ook firmware-updates aanbieden wanneer dit nodig is. Het apparaat altijd up-to-date houden helpt ervoor te zorgen dat het volledige beveiligingsbescherming kan blijven ontvangen die is ontworpen voor veilig opstarten.

 

Vraag 4: Wat zijn de gevolgen van het uitschakelen van het secure boot-apparaat?

Antwoord 4: Apparaten die secure boot uitschakelen zullen geen nieuwe secure boot-credentials in de firmware ontvangen. Hierdoor blijven ze kwetsbaar voor malware op het bootniveau (zoals bootkits), omdat secure boot-bescherming niet wordt afgedwongen.

 

Vraag 5: Na het terugzetten van de firmware naar de standaardinstellingen, stopte het apparaat met opstarten - wat is er gebeurd? Hoe moet ik dit oplossen?

Antwoord 5: Als Windows al de 2023 ondertekende opstartmanager heeft gebruikt, maar de firmware is teruggezet naar de standaardwaarde die het Windows UEFI CA 2023 certificaat niet bevat, zal secure boot het opstartproces blokkeren.

Je kunt de FAQ raadplegen:

[Notebook] Probleemoplossing - Secure Boot-overtredingsfout bij het opstarten

 

Vraag 6: Als het Secure Boot-certificaat van mijn apparaat is verlopen, kan ik dan nog een bijgewerkt certificaat ontvangen?

Antwoord 6: Ja. Zelfs als de bestaande referenties zijn verlopen, kunnen cumulatieve updates met nieuwe secure boot-referenties nog steeds worden toegepast. Als het apparaat Windows kan starten en updates kan installeren, kunnen de bijgewerkte referenties volgens de gepubliceerde implementatierichtlijnen in de firmware worden geschreven. De meeste apparaten ontvangen deze updates automatisch, maar sommige systemen vereisen mogelijk extra firmware-updates.

 

Vraag 7: Hoe controleer je de status van UEFI Secure Boot Keys?

Antwoord 7: Volg de volgende stappen:

  1. Voer PowerShell in het Windows-systeem zoekvak in. 
    In de zoekresultaten, klik op het Windows PowerShell pictogram en selecteer Uitvoeren als Administrator. 
  2. Bevestig dat Key Exchange Key (KEK) "Microsoft Corporation KEK 2K CA 2023" bevat 
    Voer [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' in 
    Als Waar verschijnt, betekent dit dat het "Microsoft Corporation KEK 2K CA 2023" bevat 
  3. Bevestig dat Signature Databases (DB) "Windows UEFI CA 2023" bevat 
    Voer [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' in 
    Als Waar verschijnt, betekent dit dat het "Windows UEFI CA 2023" bevat 
  4. Bevestig dat Signature Databases (DB) "Microsoft UEFI CA 2023" bevat 
    Voer [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' in 
    Als Waar verschijnt, betekent dit dat het "Microsoft UEFI CA 2023" bevat 

 

Vraag 8: Wat moet ik doen als ik een TPM WMI foutmelding (Event ID: 1801) zie in de Event Viewer?

Antwoord 8: De reden voor deze foutmelding is dat de secure boot-gegevens zijn bijgewerkt, maar nog niet zijn toegepast op de apparaatfirmware.

Voer eerst Windows Update uit om te controleren of de OS-build [26100.6725] of hoger is, en volg daarna de stappen zoals beschreven in Vraag 2.

Windows 11, versie 25H2 updategeschiedenis.

 

Vraag 9: Wat moet ik doen als ik een TPM WMI foutmelding (Event ID: 1802) zie in de Event Viewer?

Antwoord 9: De reden voor deze foutmelding is dat de boot-update bewust is geblokkeerd omdat het apparaat voldoet aan bekende firmware- of hardwarecondities, waardoor de update niet veilig kan worden voltooid.

Rapporteer het probleem via het ASUS servicecentrum.

 

Vraag 10: Wat moet ik doen als ik een TPM WMI foutmelding (Event ID: 1803) zie in de Event Viewer?

Antwoord 10: De reden voor deze foutmelding is dat het apparaat de Key Exchange Key (KEK) ondertekend door PK niet kan vinden.

Rapporteer het probleem via het ASUS servicecentrum.

 

 

Referentie:

Windows Secure Boot certificaatvervaldatum en CA-updates - Microsoft Ondersteuning  
Status van Secure Boot certificaatupdate in de Windows Beveiligingsapp  
Veelgestelde vragen over het Secure Boot updateproces - Microsoft Ondersteuning  
Secure Boot DB en DBX variabele updategebeurtenissen - Microsoft Ondersteuning  
Windows 11, versie 25H2 updategeschiedenis - Microsoft Ondersteuning