Windows Secure Boot sertifika süresinin dolması ve sertifika güncellemeleri
Windows [Güvenli Boot] desteği vermeye başladığından beri, çoğu Windows cihazı UEFI Secure Boot veritabanında bir dizi Microsoft sertifikası kullanıyor. Bu eski sertifikalar 2026'dan itibaren kademeli olarak geçerliliğini yitirmeye başlayacak. Boot güvenliğini ve güven zinciri bütünlüğünü korumak için sistemlerin 2023 Microsoft sertifikalarının sürümüne güncellenmesi gerekmektedir.
Eğer sisteminiz şu anda [Güvenli Boot] etkin ise, bu sertifikaların 2026 ortasından önce geçerliliği sona ermeden güncellendiğinden emin olun.
Çoğu kullanıcı için gerekli güncellemeler, Windows Güncellemeleri aracılığıyla otomatik olarak sunulacak ve kullanıcıdan herhangi bir işlem gerektirmeyecektir.
Güncellemelerin başarıyla alınıp alınmadığı, Windows Güvenlik Uygulaması aracılığıyla doğrulanabilir. Bu adımlar için Windows Güvenlik uygulamasında Secure Boot sertifika güncelleme durumu bağlantısında açıklanmıştır.
[Windows Güncellemesi] etkinleştirildiğinde ve sistemde Secure Boot aktif olduğunda (lütfen Secure Boot nasıl etkinleştirilir bölümüne bakın), desteklenen Windows cihazları yeni Secure Boot sertifikalarını ve yeni Boot Manager'ı uygun zamanda otomatik olarak indirip uygulayacaktır.
Yeni Secure Boot veritabanı güncellemesi, 2024'ten itibaren Secure Boot etkin olan cihazlara aşamalar halinde sunulmaktadır ve sertifika Haziran 2026'da geçerliliğini kaybetmeden önce cihazınızın güncellemesi otomatik olarak tamamlanacaktır.
[Yeni sertifikaları almak için Windows Update'i etkinleştirin]

Soru 1: UEFI Secure Boot durumunu nasıl kontrol edebilirim?
Cevap 1: Lütfen aşağıdaki adımları takip edin:
- Windows arama çubuğuna Windows Güvenliği yazın.

- Sol menüden [Cihaz güvenliği] seçeneğini seçin. [Secure boot] altında bir durum göstergesi göreceksiniz. Secure boot simgesi, sisteminizde Secure boot'un mevcut durumunu gösteren yeşil, sarı veya kırmızı bir rozet ile işaretlenmiştir.

Soru 2: Secure boot simgesi sarı veya kırmızı ise ne yapmalıyım?
Cevap 2: Lütfen makalede ayrıntılı olarak açıklanan çözüm adımlarına bakın: Sorun Giderme - Secure Boot Simgesi Sarı veya Kırmızı Rozet Gösteriyor.
Soru 3: [Cihazım] [eski sertifika] süresi dolmadan önce [yeni Secure Boot sertifikası] alamazsa ne olur?
Cevap 3: [Güvenli boot sertifikası] süresi dolduktan sonra, henüz [yeni 2023 sertifikası] almamış olan cihazlar yine de başlatılabilir ve normal şekilde çalışmaya devam edebilir, standart [Windows güncellemeleri] yüklenmeye devam eder. Ancak, bu cihazlar erken başlatma sürecinde yeni güvenlik korumalarını alamaz; buna [Windows boot yöneticilerinin] güncellenmesi, güvenli boot veritabanları, iptal listeleri ve yeni keşfedilen boot düzeyi açıkları için önlemler dahildir.
Zamanla, bu durum cihazın yeni çıkan tehditlere karşı korunmasını sınırlar ve [güvenli boot güvenine] dayanan senaryoları (örneğin BitLocker güçlendirme veya üçüncü taraf boot yükleyicileri) etkileyebilir. Çoğu [Windows cihazı] otomatik olarak güncellenmiş kimlik bilgilerini alır ve bir çok [OEM üreticisi] de gerektiğinde firmware güncellemeleri sunar. Cihazın sürekli güncel tutulması, [güvenli boot] için tasarlanmış tam güvenlik korumasını almaya devam etmesini sağlar.
Soru 4: [Güvenli boot] cihazı kapatmanın etkileri nelerdir?
Cevap 4: [Güvenli boot] kapatılan cihazlar firmware'da yeni [güvenli boot kimlik bilgileri] almaz. Bu nedenle, [güvenli boot koruması] uygulanmadığı için boot katmanı zararlı yazılımlara ([bootkit] gibi) karşı savunmasız kalırlar.
Soru 5: Ürünü varsayılan ayarlara sıfırladıktan sonra cihazın açılması durdu - ne oldu? Nasıl düzeltebilirim?
Cevap 5: Windows zaten 2023 imzalı boot manager kullanıyorsa, ancak ürün yazılımı Windows UEFI CA 2023 sertifikasını içermeyen varsayılan değere sıfırlanırsa, güvenli boot açılış sürecini engeller.
SSS'ye bakabilirsiniz:
[Dizüstü Bilgisayar] Sorun Giderme - Başlangıçta Güvenli Boot İhlal Hatası
Soru 6: Cihazımın Güvenli Boot sertifikası süresi dolduysa, yine de güncellenmiş bir sertifika alabilir miyim?
Cevap 6: Evet. Mevcut kimlik bilgileri süresi dolmuş olsa bile, yeni güvenli boot kimlik bilgilerini içeren toplu güncellemeler yine de uygulanabilir. Cihaz Windows'u başlatabiliyor ve güncellemeleri yükleyebiliyorsa, güncellenmiş kimlik bilgileri yayınlanan dağıtım kılavuzuna göre ürün yazılımına yazılabilir. Çoğu cihaz bu güncellemeleri otomatik olarak alır, ancak bazı sistemler ek ürün yazılımı güncellemeleri gerektirebilir.
Soru 7: UEFI Güvenli Boot Anahtarlarının durumunu nasıl kontrol edebilirim?
Cevap 7: Lütfen aşağıdaki adımlara bakın:
- Windows sistem arama kutusuna PowerShell girin.
Arama sonuçlarında Windows PowerShell simgesine tıklayın ve Yönetici olarak çalıştır seçeneğini seçin.
- Key Exchange Key (KEK) içinde "Microsoft Corporation KEK 2K CA 2023" olduğunu onaylayın
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' yazın
Eğer True görünüyorsa, "Microsoft Corporation KEK 2K CA 2023" içeriyor demektir
- Signature Databases (DB) içinde "Windows UEFI CA 2023" olduğunu onaylayın
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' yazın
Eğer True görünüyorsa, "Windows UEFI CA 2023" içeriyor demektir
- Signature Databases (DB) içinde "Microsoft UEFI CA 2023" olduğunu onaylayın
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' yazın
Eğer True görünüyorsa, "Microsoft UEFI CA 2023" içeriyor demektir
Soru 8: Event Viewer'da TPM WMI hata mesajı (Olay Kimliği: 1801) bulursam ne yapmalıyım?
Cevap 8: Bu hata mesajının nedeni, güvenli boot kimlik bilgilerinin güncellenmiş olması ancak henüz cihaz firmware’ına uygulanmamış olmasıdır.
Lütfen önce Windows Update’i çalıştırarak işletim sistemi yapısının 26100.6725 veya daha yeni olduğundan emin olun ve ardından Soru 2’de belirtilen adımları uygulayın.
Windows 11, sürüm 25H2 güncelleme geçmişi.
Soru 9: Event Viewer'da TPM WMI hata mesajı (Olay Kimliği: 1802) bulursam ne yapmalıyım?
Cevap 9: Bu hata mesajının nedeni, cihazın bilinen firmware veya donanım koşullarına uygun olması nedeniyle boot güncellemesinin kasıtlı olarak engellenmesidir; bu da güncellemenin güvenli şekilde tamamlanmasını engeller.
Lütfen sorunu ASUS servis merkezi aracılığıyla bildirin.
Soru 10: Event Viewer'da TPM WMI hata mesajı (Olay Kimliği: 1803) bulursam ne yapmalıyım?
Cevap 10: Bu hata mesajının nedeni, cihazın PK tarafından imzalanmış Key Exchange Key (KEK) bulamamasıdır.
Lütfen sorunu ASUS servis merkezi aracılığıyla bildirin.
Referans:
Windows Güvenli Başlatma sertifikası süresinin dolması ve CA güncellemeleri - Microsoft Destek
Windows Güvenlik uygulamasında Güvenli Başlatma sertifikası güncelleme durumu
Güvenli Başlatma güncelleme süreci hakkında sıkça sorulan sorular - Microsoft Destek
Güvenli Başlatma DB ve DBX değişken güncelleme olayları - Microsoft Destek
Windows 11, 25H2 sürüm güncelleme geçmişi - Microsoft Destek