Microsoft waarschuwt: Windows-beveiligingscertificaten voor Secure Boot verlopen in juni

Microsoft heeft een wereldwijde waarschuwing afgegeven aan Windows-gebruikers, systeembeheerders en hardwarefabrikanten over het naderende verlopen van cruciale Secure Boot-certificaten. Deze certificaten, die oorspronkelijk rond 2011 zijn uitgegeven, vormen de basis van de vertrouwensketen die ervoor zorgt dat een computer uitsluitend met cryptografisch ondertekende en betrouwbare software kan opstarten. De vervaldatum van deze certificaten valt eind juni 2026. Omdat de certificaten zijn opgeslagen in de firmware (UEFI) van pc’s en servers, vereist de vernieuwing ervan firmware-updates op apparaatniveau.

Wat is Secure Boot precies?

Secure Boot is een beveiligingsfunctie binnen de UEFI-firmware (Unified Extensible Firmware Interface). Het doel is om te voorkomen dat ongeautoriseerde of kwaadaardige software – zoals bootkits of rootkits – zich al vóór het laden van het besturingssysteem in het opstartproces nestelt.

Wanneer een computer wordt ingeschakeld, controleert Secure Boot de digitale handtekening van de bootloader en andere vroege opstartcomponenten aan de hand van certificaten en sleutels die in de firmware zijn opgeslagen. Alleen software die cryptografisch is ondertekend met een vertrouwd certificaat mag worden uitgevoerd.

De beveiligingsketen bestaat onder meer uit:

• De Platform Key (PK)
• De Key Exchange Keys (KEK’s)
• De db (allowed database) met toegestane certificaten
• De dbx (revocation database) met ingetrokken certificaten

De certificaten die nu verlopen, maken deel uit van deze vertrouwensbasis.

Waarom moeten de certificaten worden vervangen?

Digitale certificaten hebben een beperkte geldigheidsduur om cryptografische veiligheid te waarborgen. Certificaten die in 2011 zijn uitgegeven, naderen hun maximale levensduur. Als ze niet tijdig worden vervangen:

• blijft het systeem in principe functioneren;
• maar ontbreekt bescherming tegen nieuwe kwetsbaarheden op bootniveau;
• kunnen nieuwe of bijgewerkte bootloaders mogelijk niet meer correct worden vertrouwd;
• ontstaat er een verhoogd risico op misbruik via laag-niveau malware.

Microsoft benadrukt dat dit één van de grootste gecoördineerde beveiligings onderhoudsoperaties binnen het Windows-ecosysteem is. Het proces vereist samenwerking tussen Microsoft, pc-fabrikanten, firmwareleveranciers, chipfabrikanten en enterprise-beheerders wereldwijd.

Wat houdt de update in?

De operatie omvat meerdere technische stappen:

1. Uitgifte van nieuwe Secure Boot-certificaten met een verlengde geldigheidsperiode.
2. Firmware-updates (UEFI-updates) waarin deze nieuwe certificaten worden opgenomen.
3. Aanpassingen binnen Windows om compatibiliteit te waarborgen.
4. Distributie via Windows Update, in samenwerking met fabrikanten zoals Dell, HP, Lenovo en andere OEM’s.

Omdat Secure Boot op firmware-niveau werkt en direct invloed heeft op het opstartproces, moet de implementatie uiterst zorgvuldig gebeuren. Onjuiste configuratie of fouten bij het bijwerken van certificaten kunnen leiden tot:

• systemen die niet meer opstarten;
• incompatibiliteit met bestaande besturingssystemen;
• verminderde beveiliging;
• verstoringen binnen bedrijfsomgevingen met complexe configuraties.

Daarom wordt de uitrol gefaseerd uitgevoerd.

Welke systemen zijn al voorzien van nieuwe certificaten?

• Vrijwel alle systemen die in 2025 zijn geleverd, bevatten standaard de vernieuwde Secure Boot-certificaten.
• Veel computers die sinds 2024 op de markt zijn verschenen, beschikken eveneens al over bijgewerkte firmware.
• Voor oudere systemen zijn firmware-updates noodzakelijk, mits de fabrikant deze nog ondersteunt.

Voor zakelijke omgevingen kan aanvullende validatie vereist zijn, vooral bij aangepaste bootconfiguraties, dual-bootopstellingen of aangepaste beveiligingsinstellingen.

Gevolgen voor Windows 10 en oudere versies

Microsoft geeft aan dat de nieuwe Secure Boot-certificaten niet beschikbaar worden gesteld voor Windows-versies die geen ondersteuning meer ontvangen.

De reguliere ondersteuning voor Windows 10 eindigde op 14 oktober 2025. Er gelden echter uitzonderingen:

• Gebruikers die zich hebben aangemeld voor Extended Security Updates (ESU) ontvangen nog beperkte beveiligingsupdates.
• In de Europese Unie werd een eenmalige gratis verlenging van één jaar aangeboden.

Systemen met een niet-ondersteunde Windows-versie ontvangen geen nieuwe certificaten via Windows Update. Dat betekent dat oudere systemen mogelijk zonder vernieuwde Secure Boot-bescherming blijven draaien.

Wat betekent dit voor gebruikers?

Voor de meeste particuliere gebruikers zal de overgang automatisch verlopen via Windows Update, mits:

• de pc nog wordt ondersteund door de fabrikant;
• firmware-updates beschikbaar zijn;
• het systeem een ondersteunde Windows-versie draait.

Voor IT-beheerders in bedrijfsomgevingen is het raadzaam om:

• firmware-inventarisaties uit te voeren;
• testomgevingen te gebruiken vóór grootschalige uitrol;
• back-ups te maken voordat firmware-updates worden toegepast;
• Secure Boot-configuraties te controleren op maatwerk of afwijkingen.

Samenvattend

• De Secure Boot-certificaten uit 2011 verlopen eind juni 2026.
• Vernieuwing vereist firmware-updates op miljoenen apparaten wereldwijd.
• Zonder update blijft een systeem werken, maar neemt de beveiliging op bootniveau af.
• Nieuwe pc’s bevatten al vernieuwde certificaten.
• Oudere systemen vereisen updates van de fabrikant.
• Niet-ondersteunde Windows-versies ontvangen geen nieuwe certificaten.

Microsoft beschouwt deze operatie als een van de meest omvangrijke beveiligings onderhoudsprojecten binnen het Windows-ecosysteem, vanwege de technische complexiteit en de wereldwijde impact op zowel consumenten als zakelijke gebruikers.

Door: Drifter