Miliony počítačů zůstanou bez ochrany. Windows 10 přišel o bezpečnostní certifikát a Microsoft už ho nikdy neobnoví

Bezpečnostní certifikáty Secure Boot z roku 2011 začínají expirovat. Windows 10 bez rozšířené podpory už nebude bezpečný.

Zdroj fotografie: Pexels

Nejde o výpadek, po kterém počítač přestane startovat. Jde o něco méně viditelného, ale dlouhodobě závažnějšího: Microsoft přechází na nový sadu Secure Boot certifikátů z roku 2023 a starý Windows 10 bez placené rozšířené podpory (ESU) do tohoto nového řetězce důvěry jednoduše nezahrne. Stovky milionů zařízení po celém světě, a odhadem kolem 900 tisíc českých domácností, tak postupně ztratí přístup k budoucím ochranám nejnižší vrstvy startu operačního systému. Počítač poběží dál, ale při další zranitelnosti na úrovni bootování už pro něj nemusí přijít oprava.

Ochrana systému už nejde prodloužit

Secure Boot je zabudovaný do firmwaru UEFI, který při startu počítače ověřuje digitální podpisy bootloaderu a dalších komponent ještě před načtením Windows. Chrání před bootkity, tedy malwarem, který se dokáže usadit pod systém a spustit se dříve než jakýkoli operační antivirus.

Celý tento systém stojí na sadě certifikátů, které Microsoft vytvořil v roce 2011. Ty teď postupně expirují:

• Microsoft Corporation KEK CA 2011 – 24. června 2026
• Microsoft UEFI CA 2011 – 27. června 2026
• Microsoft Windows Production PCA 2011 – 19. října 2026

Microsoft neprodlužuje platnost starých certifikátů. Místo toho zavádí novou sadu z roku 2023 a novou důvěryhodnou konfiguraci, kterou distribuuje přes Windows Update, ale jen na podporované verze systému. Podle oficiálního FAQ Microsoftu nepodporované verze Windows nové certifikáty nedostanou. U běžného Windows 10 Home nebo Pro bez ESU jde tedy o kombinaci technického přechodu a produktového rozhodnutí. Výsledek je stejný: starý systém zůstane na staré, postupně expirované sadě.

Kolik počítačů to zasáhne

Microsoft v dubnu 2026 na výsledkové konferenci uvedl přes 1,6 miliardy měsíčně aktivních zařízení Windows. Podle dat Statcounteru za květen 2026 tvoří Windows 10 celosvětově 26,36 % desktopových Windows. Hrubý horní odhad: zhruba 420 milionů zařízení. Ne všechna jsou zasažena stejně, část poběží na LTSC nebo IoT větvích, část využije ESU. Ale většina domácích uživatelů žádnou z těchto výjimek nevyužije.

V Česku jsou data ještě mlhavější. Statcounter uvádí podíl Windows 10 na českých desktopech 29,77 %. ČSÚ ve zprávě za rok 2025 uvádí, že počítač vlastní 83,5 % českých domácností, tedy asi 3,8 milionu domácností. Křížením těchto čísel vychází řádově 900 tisíc zařízení. Oficiální přesný počet neexistuje, ale řád je jasný: jde o statisíce až miliony českých počítačů, které se postupně ocitají mimo budoucí ochranné mechanismy bootování.

Co to znamená pro běžného uživatele

Počítač s Windows 10 po expiraci certifikátů nepřestane fungovat. Nabootuje, spustí se, aplikace poběží. Jenže zařízení bez nových certifikátů z roku 2023 postupně přestane dostávat:

• aktualizace Windows Boot Manageru
• nové revokace v databázi DBX (seznam zakázaných podpisů)
• změny v DB a KEK (důvěryhodné klíče a podpisy)
• mitigace nově objevených zranitelností na úrovni bootování

Microsoft v uživatelském KB uvádí, že zařízení může „nějakou dobu“ fungovat normálně, ale postupně nemusí dostávat ochranu pro startovací proces. Varovný stav v aplikaci Zabezpečení Windows může nastat už od června 2026, pokud se objeví zranitelnost, kterou na staré konfiguraci nepůjde opravit.

Podle nás je právě tohle jádro problému. Nejde o jeden dramatický den, kdy se všechno rozbije. Jde o narůstající bezpečnostní dluh. Každá další zranitelnost na úrovni bootování, pro kterou starý Windows 10 nedostane opravu, ten dluh zvětšuje. A bootkity, tedy malware, který se načte ještě před systémem, jsou přesně typem hrozby, proti kterým žádný klasický antivir nepomůže, protože v tu chvíli ještě neběží.

Výjimka, která potvrzuje pravidlo: ESU do října 2026

Pro běžný Windows 10 bez rozšířené podpory se certifikáty nebudou obnovovat. Existuje ale důležitá výjimka. Microsoft nabízí program Extended Security Updates i pro domácí uživatele Windows 10 22H2. Aktivovat ho lze třemi způsoby: zdarma při synchronizaci nastavení PC, za 1 000 bodů Microsoft Rewards, nebo jednorázově za přibližně 720 Kč. Ochrana trvá do 13. října 2026.

S ESU počítač stále spadá mezi podporovanou konfiguraci a nové Secure Boot certifikáty dostane přes Windows Update. Jenže 13. říjen 2026 je tvrdý konec. Po něm se i ESU zařízení ocitnou ve stejné pozici jako dnes nepodporované stroje. ESU je odklad, ne řešení.

Co dělat: tři reálné cesty

Přechod na Windows 11 je nejčistší varianta, pokud to hardware dovolí. Na Windows 10 stačí spustit aplikaci PC Health Check a kliknout na „Zkontrolovat nyní“. Pokud je počítač způsobilý, nabídka upgradu se obvykle objeví přímo ve Windows Update. Windows 11 zůstává v plném automatickém rolloutu nových certifikátů.

Aktivace ESU dává smysl pro ty, kdo potřebují čas. Rok navíc může stačit k naplánování výměny hardwaru nebo migrace dat.

Linux jako alternativa: distribuce jako Zorin OS cílí přímo na uživatele odcházející z Windows 10. Hardwarové nároky jsou minimální: dvoujádro na 1 GHz, 2 GB RAM, 15 GB úložiště. Pro web, e-mail a kancelářskou práci to funguje. Ale ne všechny Windows aplikace poběží přes Wine a u části starších počítačů bude potřeba řešit Secure Boot přímo v UEFI. Pro specifický software (účetnictví, některé hry, firemní nástroje) to univerzální náhrada není.

Ať už zvolíte jakoukoli cestu, jeden krok zvládnete hned teď: otevřete Zabezpečení Windows → Zabezpečení zařízení → Secure Boot. Od jara 2026 tam Microsoft zobrazuje stav certifikátů: zelený, žlutý nebo červený. Barva vám řekne, kde stojíte.

Skutečný tlak na odchod z Windows 10 nevytváří jedna konkrétní chyba ani jedno konkrétní datum. Vytváří ho tiché zavírání celé bootovací infrastruktury, do které starý systém bez podpory postupně přestává patřit. A tahle brána se zavírá jen jedním směrem.