V červnu 2026 vyprší Windows bezpečnostní certifikáty. Většina počítačů čeká na aktualizaci marně

Dva klíčové certifikáty z roku 2011, které chrání start každého počítače s Windows, přestanou platit za několik týdnů. Automatická oprava dorazí jen na část strojů.

Zdroj fotografie: 최광모 (Choe Kwangmo) / Creative Commons / CC BY-SA

Nejde o apokalypsu: počítač nezčerná, nezamrzne, nezačne pípat. Jde o něco zákeřnějšího: tichou degradaci ochrany v nejcitlivější fázi startu systému. Microsoft nové certifikáty připravil, nasazuje je postupně od května 2025, ale sám přiznává, že automatická aktualizace je sice „nápomocná, ale bez záruky“. Rozhoduje kombinace verze Windows, stáří firmwaru, výrobce základní desky a toho, zda stroj vůbec ještě dostává bezpečnostní záplaty. Výsledek? Dva identické notebooky vedle sebe na stole, jeden chráněný, druhý ne.

Co přesně v červnu vyprší a co to znamená

V červnu 2026 expirují dva certifikáty: Microsoft Corporation KEK CA 2011 a Microsoft UEFI CA 2011. V říjnu 2026 pak ještě Microsoft Windows Production PCA 2011. Všechny tři jsou uložené v UEFI firmwaru, tedy ne v systému Windows, ale přímo v čipu na základní desce, a tvoří základ technologie Secure Boot.

Secure Boot při každém startu ověřuje, že bootloader a raný kód systému nikdo nepodvrhl. Po expiraci certifikátů počítač dál naběhne, ale:

• přestane přijímat nové aktualizace Windows Boot Manageru,
• nedostane revokace kompromitovaných položek v databázi Secure Boot,
• zůstane bez oprav budoucích zranitelností na úrovni bootování (bootkitů).

Degradace je postupná. Čím déle stroj běží bez nových certifikátů z roku 2023, tím víc se bezpečnostně vzdaluje od aktuálního stavu platformy.

Proč automatická aktualizace nefunguje pro všechny

Microsoft nahradil staré certifikáty čtveřicí nových: KEK 2K CA 2023, UEFI CA 2023, Option ROM UEFI CA 2023 a Windows UEFI CA 2023. Rozdělení rolí je záměrně jemnější než u původního jednoho širokého certifikátu. Problém není v tom, že by nové certifikáty neexistovaly. Problém je v tom, jak se dostanou do firmwaru konkrétního počítače.

Aktualizace nekončí v operačním systému, ale zapisuje se do UEFI proměnných přímo ve firmwaru. Microsoft ji proto nasazuje jen tam, kde má jistotu, že daná kombinace výrobce, modelu a verze BIOSu zápis zvládne. Používá k tomu postupný rollout po skupinách. Brzdy, které stroj vyřadí z automatického nasazení:

• nepodporovaná nebo zastaralá verze Windows,
• Windows 10 po 14. říjnu 2025 bez placeného předplatného ESU,
• omezená diagnostická data (typicky firemní prostředí s restriktivní telemetrií),
• známý problém kompatibility s konkrétním firmwarem,
• chybějící aktualizace BIOSu nebo UEFI od výrobce.

Právě poslední bod je nejslabší článek celého řetězce. Microsoft může chtít zapsat nový certifikát, ale pokud firmware starého počítače aktualizaci nezvládne nebo se po resetu BIOSu vrátí ke starým výchozím klíčům, celá operace selže.

Windows 10 versus Windows 11: dvě různé reality

Windows 11 na podporované verzi je v nejpohodlnější pozici: sedí v automatickém rolloutu a Microsoft ho řeší prioritně. Windows 10 je jiný příběh. Po 14. říjnu 2025 skončila jeho běžná bezpečnostní podpora. Kdo si nezaplatil Extended Security Updates nebo nepoužívá edici LTSC, nedostává průběžné aktualizace, a bez nich nepřijdou ani nové certifikáty Secure Boot.

Microsoft tím fakticky navázal bezpečnost na úrovni firmwaru na pokračující placený servis. Logika je servisní: bez záplat nemá smysl aktualizovat boot trust. Důsledek je ale tvrdý: stovky milionů strojů s Windows 10 bez ESU zůstanou mimo nový bezpečnostní řetězec.

Jak zjistit stav svého počítače

Od dubna 2026 Windows Security ukazuje stav v cestě Device security → Secure Boot:

Stav	Význam
Zelená fajfka „Fully updated“	Nové certifikáty úspěšně zapsány
Žlutý stav	Starší konfigurace boot trust nebo omezení hardwaru či firmwaru
Červený stav	Existuje bezpečnostní aktualizace pro boot, kterou stroj neumí přijmout

Pro technickou kontrolu v administrátorském PowerShellu:

Get-SecureBootUEFI -Name db -Decoded
Get-SecureBootUEFI -Name kek -Decoded

Ve výstupu hledejte „CN=Windows UEFI CA 2023“ v DB a „CN=Microsoft Corporation KEK 2K CA 2023“ v KEK. Pokud tam nejsou, stroj na nový řetězec zatím nepřešel.

Praktické kroky: nepauzovat Windows Update, nainstalovat poslední kumulativní záplaty, restartovat. U žlutého stavu zkontrolovat, zda výrobce vydal aktualizaci BIOSu. Dell zveřejnil seznam podporovaných modelů včetně běžných řad OptiPlex, Precision nebo XPS. HP a Lenovo mají vlastní stránky s pokyny, konkrétní pokrytí je nutné ověřit podle modelu.

Kdo je na tom nejhůř

Zařízení Microsoft Surface vyráběná od roku 2024 startují s novými certifikáty rovnou z výroby: Microsoft tam kontroluje hardware i firmware. Běžný PC trh je jiný ekosystém. Firemní počítače ve školách a úřadech, kde se hardware obměňuje jednou za šest až osm let, často běží na firmwaru, pro který výrobce už aktualizaci BIOSu nevydá. IT oddělení s restriktivní telemetrií vypadnou z automatického rolloutu. A domácí uživatelé Windows 10 bez ESU nemají cestu zpět do bezpečnostního řetězce vůbec.

Secure Boot nevypínejte: tím problém nevyřešíte, jen odstraníte i tu ochranu, která zbývá. A pozor na reset BIOSu do továrního nastavení: Dell výslovně varuje, že tím lze vrátit staré výchozí klíče a rozbít nově zapsaný stav boot trust.

Červen 2026 není den, kdy počítače přestanou fungovat. Je to den, od kterého se ekosystém Windows začne dělit na stroje s aktuální ochranou startu a na ty, které se od ní potichu vzdalují s každou neopravenou zranitelností v řetězci bootování.