Windows mají 15 let staré certifikáty, které právě vypršely. Jenomže ne všem se nové nainstalovaly samy
Obsah článku
Nejde o abstraktní licenční klíče ani o nějakou marketingovou pojistku. Secure Boot certifikáty jsou digitální podpisy uložené přímo v UEFI firmwaru počítače, tedy v čipu na základní desce, ne „někde ve Windows“. Ověřují, že bootovací komponenty, které se spouštějí ještě před startem operačního systému, jsou důvěryhodné. Microsoft je zavedl v éře Windows 8 a od té doby je neměnil. Patnáct let. Teď tři z nich postupně expirují a náhrada za ně dorazila jen na část strojů.
Které certifikáty přesně a kdy
Certifikátů je trojice a každý má jinou roli:
- Microsoft Corporation KEK CA 2011 podepisuje změny v Secure Boot databázích (DB a DBX). Expiroval 24. června 2026.
- Microsoft UEFI CA 2011 ověřuje podpisy třetích stran a EFI aplikací. Expiroval 27. června 2026.
- Microsoft Windows Production PCA 2011 podepisuje samotný Windows bootloader. Expiruje 19. října 2026.
Náhrady nesou označení s rokem 2023 a Microsoft je začal distribuovat v kumulativních aktualizacích od 13. května 2025. Jenže samotné stažení updatu nestačí, certifikáty se musí zapsat do firmwaru, a právě tam řada počítačů narazila.
Proč se nové certifikáty neinstalovaly všem
Microsoft nezvolil plošný „push všem najednou“. Místo toho vybudoval takzvanou high-confidence databázi, která třídí zařízení do skupin podle výrobce, základní desky, verze firmwaru a dalších atributů. Update se pošle teprve tehdy, když má Microsoft dostatečnou jistotu, že na dané kombinaci hardwaru proběhne bezpečně.
Důvod opatrnosti je pochopitelný: zásah míří do UEFI proměnných a boot manageru. Špatné nasazení může vyvolat výzvu k obnovení BitLockeru, zacyklení při startu nebo úplné odmítnutí bootovat. U některých konfigurací Microsoft rollout pozastavil kvůli známým chybám, u jiných firmware výrobce zápis nových certifikátů vůbec nepodporuje bez předchozí aktualizace BIOSu. A pak je tu ještě jeden faktor: řízený rollout (Controlled Feature Rollout) vyžaduje diagnostická data. Kdo si telemetrii omezil, třeba přes nástroje na ochranu soukromí, mohl doručení nepřímo zkomplikovat, protože Microsoft neměl dost signálů k vyhodnocení bezpečnosti nasazení.
Co to reálně znamená pro váš počítač
Důležité upozornění hned na začátek: počítač se kvůli expiraci certifikátů nepřestane spouštět. Windows dál nastartují a běžné aktualizace se dál instalují. Problém je subtilnější, ale o to zákeřnější.
Zařízení bez nových 2023 certifikátů ztrácí schopnost přijímat budoucí ochrany pro bootovací řetězec, tedy aktualizace Windows Boot Manageru, revokační seznamy a mitigace nově objevených zranitelností na úrovni startu systému. Právě tyto ochrany blokují takzvané bootkity, tedy malware, který se načte ještě před operačním systémem a je prakticky neviditelný pro antivir. U známého případu BlackLotus Microsoft uvádí, že útočník typicky potřebuje administrátorský nebo fyzický přístup, takže nejde o scénář „kliknu na špatný odkaz a mám bootkit“. Ale bezpečnostní dluh už běží a s každým měsícem bez nových certifikátů roste.
Zvlášť zranitelné jsou počítače s Windows 10 bez rozšířené podpory (ESU). Podpora Windows 10 skončila 14. října 2025 a bez zakoupeného ESU tyto stroje nedostávají ani bezpečnostní aktualizace, natož Secure Boot certifikáty. Žádná regionální výjimka pro Česko neexistuje.
Jak zjistíte, jestli máte nové certifikáty
Nejjednodušší cesta vede přes aplikaci Zabezpečení Windows. Od dubna 2026 tam Microsoft přidal přehledný stav Secure Boot certifikátů:
- Otevřete Zabezpečení Windows → Zabezpečení zařízení → Zabezpečené spuštění.
- Hledejte text potvrzující, že všechny požadované aktualizace certifikátů byly aplikovány. Samotná zelená ikonka nestačí, důležitý je doprovodný text.
Pokročilejší kontrola: v Prohlížeči událostí hledejte Event ID 1808 v systémovém logu, to znamená plně dokončenou aktualizaci. V PowerShellu můžete spustit Get-SecureBootUEFI -Name db -Decoded a ověřit, že v databázi figuruje Windows UEFI CA 2023. V registru pak klíč HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status s hodnotou Updated potvrzuje hotový stav.
Pokud vidíte žlutý nebo červený stav, případně hlášku o omezení firmwaru, je čas jednat. Oficiální cesta: nainstalovat poslední kumulativní aktualizaci, restartovat a znovu zkontrolovat. Když to nepomůže, budete potřebovat firmware update od výrobce. Microsoft provozuje OEM rozcestník s odkazy na stránky podpory Aceru, ASUSu, Dellu, HP, Lenova, MSI i dalších. Samostatný „klikací balíček“ ke stažení certifikátů Microsoft běžným uživatelům nenabízí.
Nepanikařit, ale ani nečekat
Podle nás je nejhorší reakce ignorace maskovaná klidem. Počítač funguje, nic se nezměnilo, tak proč řešit certifikáty? Jenže dva ze tří už expirovaly a třetí vyprší v říjnu. Každý den bez nových certifikátů je den, kdy váš stroj nemůže přijmout ochranu proti dalšímu útoku typu BlackLotus.
Pět minut v Zabezpečení Windows vám řekne, na čem jste. A pokud zjistíte, že patříte mezi ty, kterým se aktualizace nedoručila, máte stále šanci to napravit. Microsoft v FAQ k procesu výslovně uvádí, že nové certifikáty lze zapsat i po expiraci starých, pokud počítač stále bootuje do Windows. Okno se ale nezavírá pomalu.