Windows 11 se restartuje třikrát za sebou a nejde o chybu. Microsoft vysvětlil, proč to počítač dělá a kdy je čas panikařit

Počítač, který se po aktualizaci sám restartuje dvakrát i třikrát za sebou, nepotřebuje servis. Potřebuje nové bezpečnostní certifikáty, a má na to čas jen do června.

Zdroj fotografie: Public Domain / Creative Commons / CC BY-SA

Původní certifikáty Secure Boot, které chrání spouštění Windows ještě před načtením systému, pocházejí z roku 2011. Za pár týdnů jim vyprší platnost. Microsoft proto od letošního února postupně nasazuje jejich nástupce z roku 2023 a celý proces trvá několik po sobě jdoucích restartů. Nejde o žádné řízené padání systému, ale o výměnu klíčů přímo ve firmwaru počítače. Důležité je rozeznat, kdy se stroj mezi restarty posouvá dál, a kdy se zasekl.

Proč se jeden restart nespustí

Běžná aktualizace Windows zapíše soubory na disk a jednou restartuje. Certifikáty Secure Boot ale nežijí ve Windows. Jsou uložené v UEFI firmwaru, v té vrstvě, která běží ještě předtím, než se operační systém vůbec začne načítat. Výměna proto musí ovat systém i firmware a probíhá ve striktním pořadí:

1. Zápis nového certifikátu Windows UEFI CA 2023 do databáze důvěryhodných podpisů (DB).
2. Podle konfigurace zápis dalších certifikátů, Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023.
3. Nasazení nového klíče KEK (Key Exchange Key) podepsaného Microsoft KEK 2K CA 2023.
4. Výměna samotného Windows Boot Manageru za verzi podepsanou novým certifikátem.

Poslední krok vyžaduje restart. Pokud některý z předchozích kroků neproběhne napoprvé, systém je bezpečně zalogován a znovu znovu při dalším startu. Proto se u části počítačů objeví dva, tři i více restartů za sebou. Microsoft nikde negarantuje přesný počet, popisuje „více kroků s restartem podle potřeb“. Podstatné není, kolikrát se počítač restartuje, ale jestli se vždy vrátí do Windows.

Jak poznat, že je všechno v pořádku

Od dubna 2026 přidal Microsoft do aplikace Windows Security přehledné stavové indikátory . Najdete je v sekci Zabezpečení zařízení → Secure Boot . Tři scénáře, které znamenají klid:

• „Fully updated“ se zelenou ikonou, proces je hotový, nové certifikáty jsou na místě.
• „Secure Boot is on, but your device using a own boot trust configuration that should be updated“, aktualizace ještě dobíhá, počítač se posune při dalším servisním cyklu.
• Jednorázový požadavek na BitLocker recovery key , po zadání klíče systém běží normálně a další starty už běží bez výzev.

Všechny tři situace jsou součástí očekávaného průběhu. Počítač pracuje, certifikáty se zapisují, nic se neděje špatně.

Kdy je skutečně čas zasáhnout

Problém nastává ve chvíli, kdy se počítač mezi restarty nikam neposouvá. Varovné signály vypadají jinak než servisní normální sekvence:

• BitLocker recovery při každém startu, ne jednou, ale opakovaně, bez zlepšení.
• Chyba Secure Boot nebo chyba firmwaru ještě před načtením Windows, systém se zastaví na černé nebo modré obrazovce s hláskou o porušení Secure Boot.
• Červený nebo žlutý stav ve Windows Security s textem o hardwarovém či firmwarovém omezení, případně hláškou „Requires action“.
• Počítač se vůbec nedostane na plochu, opakovaně padá do recovery prostředí.

V takové situaci nemá smysl zkoušet další a další restart. Praktický postup: dohledat si obnovovací klíč BitLocker (typicky na account.microsoft.com), zkontrolovat stav v aplikaci Windows Security a především nainstalovat nejnovější firmware BIOS/UEFI od výrobce počítače. Starší nebo neaktualizovaný firmware je nejčastější příčinou, proč se automatická cesta zasekne. Pokud ani po aktualizaci firmwaru proces nedoběhne, směřujte na podporu výrobce.

Proč to všichni nevidí naráz

Microsoft nepustil aktualizaci na všechny počítače současně. Rollout řídí takzvaná High Confidence Database, interní systém, který sleduje úspěšnost nasazení na konkrétní kombinaci hardwaru a firmwaru. Certifikáty dostávají přednostně konfigurace s ověřenou vysokou úspěšností. Zbytek čeká na další vlnu.

Časová osa vypadá takto: veřejné oznámení přišlo 10. února 2026, stavové indikátory ve Windows Security se na Windows 11 objevily od 8. dubna a na Windows 10 od 14. dubna. Systémová upozornění mimo aplikaci následovala v květnu. Proces se týká i Windows 10 v režimu ESU, jehož rozšířená podpora běží do 13. října 2026, takže i starší stroje s desítkami dostanou nové certifikáty, pokud mají kompatibilní firmware.

Co se stane, když certifikáty vyprší dřív

Pokud počítač nové certifikáty do června 2026 nedostane, neznamená to, že přestanete startovat. Microsoft uvádí, že zařízení bude fungovat dál a běžné aktualizace se budou instalovat. Co ale odpadne, jsou nové ochrany rané fáze spouštění, aktualizace databází Secure Boot, nové verze Boot Manageru a zmírnění budoucích zranitelností na úrovni spouštění systému. Počítač poběží, ale s postupně zastarávající ochranou nejkritičtější vrstvy.

Několik restartů za sebou tedy není důvod volat servis. Důvod volat servis je počítač, který se po nich nevrátí na plochu.