„Červenou zprávu“ v zabezpečení Windows 11 nelze opravit. Microsoft s tím nepočítal a řešení neexistuje

Aplikace Zabezpečení Windows začala u části počítačů zobrazovat červený indikátor, který signalizuje neopravitelnou zranitelnost v procesu spuštění systému.

Zdroj fotografie: Public Domain

Nejde o běžnou chybu, kterou vyřeší restart nebo přeinstalace. Červený badge v Zabezpečení zařízení říká jedinou věc: pro váš počítač sice existuje bezpečnostní záplata chránící nejranější fázi spouštění, ale vaše aktuální konfigurace ji zkrátka neumí použít. A podle Microsoftu pro část zasažených strojů neexistuje podporovaná cesta, jak to napravit. Důvod sahá hluboko pod Windows, až k certifikátům Secure Boot z roku 2011, kterým po 15 letech končí životnost.

Tři barvy, tři úrovně problému

Microsoft od dubna 2026 postupně nasazuje do aplikace Zabezpečení Windows nový indikátor stavu certifikátů Secure Bootu. Funguje jako semafor:

• Zelená – zařízení úspěšně přešlo na nové certifikáty z roku 2023. Žádná akce není potřeba.
• Žlutá – automatická aktualizace certifikátů je blokovaná hardwarem nebo firmwarem. Prostor pro nápravu ještě existuje, typicky aktualizací firmwaru od výrobce.
• Červená – zařízení zůstalo na starých certifikátech a zároveň už byla identifikována zranitelnost na úrovni bootování, pro kterou stará důvěra nestačí. Opravu nelze doručit.

Žlutá je varování, červená je slepá ulička. A právě ten rozdíl je klíčový: žlutý stav znamená „ještě se to dá zachránit“, červený znamená „vlak ujel“.

Proč to Windows samo neopraví

Secure Boot není čistě záležitost operačního systému. Je to sdílený mechanismus mezi Windows, firmwarem základní desky a výrobcem počítače (OEM). Windows Update umí orchestrovat výměnu certifikátů, ale samotné databáze Secure Bootu spravuje firmware UEFI. A takzvaný Platform Key, nejvyšší klíč v hierarchii důvěry, vlastní výrobce desky.

Aby přechod na certifikáty z roku 2023 proběhl, musí OEM dodat podepsaný KEK (Key Exchange Key) kompatibilní se svým Platform Key. Firmware musí umět bezpečně zapsat nové proměnné. Pokud výrobce nic takového neposkytl, třeba proto, že daný model už nepodporuje, Windows to nemá jak obejít. Microsoft to v dokumentaci k řešení potíží popisuje jednoznačně: pro tyto scénáře není podporovaná manuální cesta k nápravě.

Plánovaná úloha \Microsoft\Windows\PI\Secure-Boot-Update, která se standardně spouští při startu a pak každých 12 hodin, v takovém případě prostě nemá co zapsat.

Kdy přesně certifikáty vyprší

Expirace nepřijde naráz. Jde o tři různé milníky:

Certifikát	Datum vypršení platnosti
Microsoft Corporation KEK CA 2011	24. června 2026
Microsoft UEFI CA 2011	27. června 2026
Microsoft Windows Production PCA 2011	19. října 2026

Microsoft o těchto termínech věděl a rollout náhradních certifikátů připravoval dopředu. První fáze indikátorů ve Windows 11 běží od 8. dubna 2026, rozšířené notifikace od 16. května 2026. Pro Česko platí stejný globální harmonogram: postupné nasazování po vlnách, nikoli jednorázové zapnutí.

Co to znamená pro běžného uživatele

Důležité upřesnění: počítač s prošlými certifikáty nepřestane fungovat. Windows se dál spustí, běžné aktualizace budou dál chodit. Co zmizí, je ochrana nejranější fáze startu, tedy možnost důvěryhodně nasazovat nové verze Windows Boot Manageru, aktualizace databází Secure Bootu a revokace kompromitovaných bootloaderů. Jinými slovy: systém poběží, ale jeho základ bude postupně slepnout vůči novým hrozbám.

Pro většinu podporovaných počítačů s aktivním Windows Update a zapnutým Secure Bootem by přechod měl proběhnout automaticky, bez zásahu uživatele. Zkontrolovat stav lze v aplikaci Zabezpečení Windows v sekci Zabezpečení zařízení, případně přes msinfo32 a položku Secure Boot State. Pokud se objeví zmínka o hardwarovém nebo firmwarovém omezení, stojí za to hledat aktualizaci firmwaru na stránkách výrobce. Microsoft výslovně nedoporučuje vypínat Secure Boot jako obejití problému.

Kdo za to nese odpovědnost

Bylo by snadné ukázat prstem na Microsoft. Expiraci certifikátů ale firma popisuje jako plánovaný konec životního cyklu, ne jako překvapení. Skutečná slabina ekosystému leží jinde: v závislosti na výrobcích hardwaru, kteří u starších nebo ukončených modelů nemají motivaci ani povinnost dodat potřebný firmware. Microsoft může diagnostikovat, koordinovat a upozorňovat, ale Platform Key mu nepatří.

Pro firemní IT prostředí je situace technicky totožná, jen s jiným workflow: badge a notifikace jsou ve výchozím stavu skryté, Microsoft očekává centrální inventuru zařízení, pilotní nasazení a monitoring event logů. Z pohledu compliance je to úkol k řešení, protože bez nových certifikátů flotila přichází o budoucí ochranu na úrovni bootování.

Červená zpráva v Zabezpečení Windows není konec světa, je to ale jasný signál, že u části staršího hardwaru se bezpečnostní dluh stal trvalým stavem. A ten jediný, kdo ho mohl splatit, už zavřel pokladnu.