Срок действия соглашения о безопасной загрузке истекает в 2026 году: риски и поддержка.
В 2026 году для большинства пользователей ничего «видимого» не меняется. Компьютер включается, загружается Windows, всё кажется прежним. Но на самом деле меняется нечто важное: основа, на которой система решает, чему доверять при запуске.
Это не обычное обновление и не просто очередной патч. Исчезают сертификаты, входящие в цепочку доверия загрузки. Проще говоря: прошивка больше не будет полагаться на ранее действительные ссылки.
Это не приводит к поломке оборудования, но меняет уровень проверки. И такие изменения легко упустить из виду, поскольку они не вызывают очевидных ошибок.
Функция Secure Boot срабатывает до того, как операционная система успевает вмешаться. Она проверяет цифровые подписи с помощью ключей, хранящихся на самой платформе (PK, KEK, db, dbx). Пока эти ключи актуальны, фильтр работает. Когда они устаревают, система всё равно загружается… но с меньшей уверенностью.
Проблема возникает не сразу, а постепенно. Система не становится небезопасной в одночасье, но теряет способность обнаруживать изменения в загрузочных компонентах. А это создает уязвимость, которая обычно не отслеживается традиционными инструментами.
Что именно меняется с истечением срока действия сертификатов?
Сертификаты, выданные в 2011 году, — как Корпорация Microsoft, KEK, Калифорния, 2011 г. то UEFI CA 2011— У них есть срок действия. В этом цикле этот срок приходится на период с июня по октябрь 2026 года.
Это не означает, что система перестаёт работать. Происходит нечто более тонкое: если данные об этих органах не обновляются, проверка перестаёт опираться на актуальную цепочку.
Компания Microsoft уже рассматривала этот сценарий с новым уполномоченным органом (Microsoft Windows PCA 2023), который распространяется через Центр обновления Windows на совместимых компьютерах. В обычных условиях процесс происходит автоматически.
Различия начинаются с оборудования, которое не соответствует этому «стандартному процессу»: неподдерживаемые системы, измененные конфигурации или встроенное ПО, которое с трудом принимает новые ключи.
Там нет четкого предупреждения. Оборудование по-прежнему работает, но проверка уже не соответствует прежним стандартам.
Не все команды находятся в одинаковой ситуации.
На первый взгляд это может показаться общей проблемой, но на самом деле многое зависит от контекста.
В некоторых случаях стоит рассмотреть этот вопрос более подробно:
- Оборудование, которое все еще используется ежедневно, но больше не получает Обновления Microsoft.
- Системы, в которых функция Secure Boot отключена по причине ранее принятых решений (совместимость, пользовательские установки).
- Среды, где безопасная загрузка является частью мер безопасности (компании, критически важные данные).
А есть и другие, где срочность значительно ниже:
- Устаревшее оборудование, которое больше не выполняет критически важные функции.
- Изолированные системы или системы с очень ограниченным применением.
Дело не в том, что в этих случаях нет риска, но приоритеты меняются. Не всё требует немедленного вмешательства.
Проверить статус: быстро и достаточно для принятия решения.
Прежде чем задумываться об изменениях, полезнее всего понять, где вы находитесь сейчас.
С msinfo32В сводке системы вы можете увидеть статус безопасной загрузки. Этого достаточно для первоначальной оценки.
Если эта функция отображается как включенная и система получает обновления, переход, скорее всего, произойдет без вмешательства.
Если система отображается как отключенная или перестала обновляться, стоит задуматься, что делать.
Этой простой информации обычно достаточно, чтобы отличить обычное техническое обслуживание от того, что требует внимания.
Это решение не техническое, а оперативное.
Здесь подход меняется. Речь идёт не просто о понимании принципа работы Secure Boot, а о решении, стоит ли вмешиваться.
Существуют очевидные ситуации, когда принятие мер имеет смысл:
- Оборудование, которое продолжает активно использоваться и обрабатывает соответствующую информацию.
- Конфигурации, в которых функция Secure Boot отключена, но может быть включена без нарушения совместимости.
- Системы, которые больше не получают автоматических обновлений.
И наоборот, принудительное внесение изменений в устаревшее или некритичное оборудование может быть излишним. Иногда разумнее изолировать его или спланировать замену.
Кроме того, модификация прошивки — дело непростое. Изменение параметра Secure Boot может повлиять на загрузку, если присутствуют несовместимые драйверы или конфигурации. Это несложно, но и делать это без предварительной проверки не рекомендуется.
Это не просто конкретная дата, это контрольная точка. Если всё в порядке, нет никакой срочности. Если нет, лучше узнать об этом до того, как это станет очевидным.
Технические подробности и конкретные даты можно найти в официальной документации. Срок действия сертификата безопасной загрузки и обновления центра сертификации..
