Microsoft Windows 11 Pro — бессрочный ключ
2 390 ₽1 990 ₽
-
Андрей Кучер
- 10 мин. чтения
- 25 мая 2026
- 35 просмотров
Сертификаты Secure Boot истекают в июне 2026: что делать пользователю Windows
24 июня 2026 года истекают сертификаты Secure Boot, которые Microsoft выпустил в 2011 году и которые до сих пор используются почти на всех Windows-устройствах. Сама Windows не сломается, ПК продолжит включаться и работать. Но без новых сертификатов 2023 года устройство потеряет защиту на уровне загрузчика, перестанет получать обновления Secure Boot и не сможет доверять стороннему ПО, подписанному после этой даты. До дедлайна остаётся месяц. Разбираемся, что именно произойдёт и что должен сделать обычный пользователь.
Если коротко
На большинстве современных ПК с Windows 10 и 11 Microsoft с февраля 2026 года рассылает новые сертификаты через обычные ежемесячные обновления. Если у вас стоит автообновление и установлены патчи Patch Tuesday за весну 2026, новые сертификаты скорее всего уже на месте. Проверить можно за 30 секунд через msinfo32 или PowerShell. Проблема ждёт владельцев старых ПК и серверов, до которых обновление может не дойти автоматически: для них нужны ручные действия или прошивка UEFI у производителя.
Если активация Windows слетит после ручного обновления сертификатов или перепрошивки UEFI, на digi-keys.ru можно купить Retail-ключ для повторной активации.
Что такое Secure Boot и при чём здесь сертификаты
Secure Boot это функция UEFI, проверяющая подлинность загрузчика и драйверов перед стартом Windows. Технология появилась в 2011 году как защита от руткитов и буткитов, прячущихся в UEFI до загрузки ОС. На каждом этапе загрузки UEFI сверяет криптографические подписи компонентов с эталонными сертификатами Microsoft, заранее зашитыми в прошивку или ESP-раздел диска.
Главные сертификаты, на которые опирается вся цепочка доверия:
Microsoft Corporation KEK CA 2011. Корневой ключ Key Exchange Key. С его помощью UEFI принимает новые подписи в базу разрешённых ключей.
Microsoft Windows Production PCA 2011. Подписывает все компоненты загрузки Windows: bootmgfw.efi, winload.efi, ядро.
Microsoft UEFI CA 2011. Подписывает стороннее ПО для UEFI, включая загрузчики Linux (shim) и другие совместимые системы.
Все три выпущены в 2011 году со сроком действия 15 лет. Срок заканчивается 24 июня 2026 года. Без новых сертификатов 2023 года цепочка доверия в Secure Boot теряет связь с реальностью.
Что приходит на замену
Microsoft подготовил четыре новых сертификата 2023 года:
- Microsoft Corporation KEK 2K CA 2023 — замена корневого KEK с увеличенной длиной ключа 2048 бит.
- Windows UEFI CA 2023 — для подписи компонентов Windows-загрузки.
- Microsoft UEFI CA 2023 — для стороннего ПО, как Linux-shim.
- Microsoft Option ROM UEFI CA 2023 — новый сертификат специально для прошивок видеокарт, RAID-контроллеров и других option ROM-устройств. В 2011 году такого разделения не было, сторонние ROM подписывались общим UEFI CA.
Разделение Option ROM и основной UEFI CA даёт администраторам более тонкий контроль над тем, какому железу доверять. Это не критично для домашнего пользователя, но для корпоративных серверов с экзотическими RAID-контроллерами разница ощутимая.
Что произойдёт, если не обновить сертификаты
Главная новость для тех, кто переживает за работоспособность ПК. Windows продолжит загружаться и работать как обычно. Никакого «синего экрана при включении» 24 июня не будет. Обычные обновления Windows тоже продолжат приходить.
Реальные последствия мягче, но всё равно болезненные.
Не будут приходить обновления Secure Boot. Microsoft регулярно публикует обновления для базы отозванных сертификатов (DBX), блокирующие новые буткиты. После 24 июня 2026 устройство без новых сертификатов перестанет получать эти обновления. По сути вы заморозите защиту на уровне 24.06.2026, без шансов добавить защиту от новых угроз.
В жизни это означает: если в августе 2026 года найдут очередной буткит и Microsoft выпустит блокировку, на необновлённом ПК этот буткит сможет выполниться. Современные буткиты заражают UEFI и переживают переустановку Windows. Для коммерческих компаний это серьёзная брешь в безопасности.
Не будет доверия к стороннему ПО, подписанному после июня 2026. Загрузочные флешки Linux, восстановительные среды от вендоров (Acronis, Veeam), новые драйверы option ROM начнут отказываться запускаться с Secure Boot из-за неизвестной подписи. Либо придётся каждый раз руками добавлять их в исключения через UEFI Setup, либо отключать Secure Boot полностью, что компрометирует общую защиту.
Стандартные обновления Windows. Они продолжат приходить нормально, в этой части ничего не ломается.
Как проверить состояние Secure Boot на своём ПК
Самый быстрый способ. Нажмите Win+R, введите команду:
msinfo32
В окне «Сведения о системе» найдите строку «Состояние безопасной загрузки» (Secure Boot State). Если там «Включено», Secure Boot активен, идём дальше. Если «Отключено», Secure Boot выключен в UEFI, в этом случае истечение сертификатов вас не касается, но включить функцию стоит для общей безопасности.
Для проверки уже установленных сертификатов 2023 года откройте PowerShell от имени администратора и выполните:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Если в выводе True, новый сертификат уже у вас. Если False, обновление пока не пришло на ваш ПК.
Альтернативный способ через реестр. Откройте regedit и перейдите в:
HKLM\SYSTEM\CurrentControlSet\Control\Secureboot
Параметр AvailableUpdates со значением 0x40 означает, что новые сертификаты установлены. Значение 0x0 значит обновление не пришло.
Что сделать обычному пользователю
Для домашнего ПК с Windows 10 или 11 и автоматическими обновлениями вы скорее всего ничего делать не должны. Microsoft рассылает новые сертификаты через ежемесячные обновления с февраля 2026 года, и к маю они уже стоят на большинстве устройств.
Если в msinfo32 видите «Включено», но в PowerShell проверка показывает False, выполните три шага.
- Откройте Параметры → Центр обновления Windows → Проверить наличие обновлений. Установите все, перезагрузите ПК.
- После перезагрузки повторите проверку через PowerShell. Если ещё False, активируйте rollout вручную через реестр (следующий раздел).
- Перезагрузите ПК ещё раз и снова проверьте. Большинство случаев решается этим шагом.
Ручной запуск обновления через реестр
Если автоматический rollout пока не дошёл, можно ускорить. Откройте regedit от имени администратора и создайте параметр DWORD по пути:
HKLM\SYSTEM\CurrentControlSet\Control\Secureboot
Имя параметра: AvailableUpdates. Значение: 0x40 (десятичное 64).
После создания параметра перезагрузите ПК. На следующем старте Microsoft проверит готовность системы и установит сертификаты во время Patch Tuesday или в течение нескольких часов фоновой работы. Проверьте результат через сутки командой из предыдущего раздела.
Внимание: ручная активация подходит для домашних ПК и одиночных машин. В корпоративной среде используйте групповые политики или Intune.
Что делать на старых ПК и серверах
Не все устройства получат обновление автоматически. Microsoft заявил, что управляет процессом «для значительной части» Windows-устройств, но не для всех. Ручное вмешательство нужно в нескольких сценариях.
Серверы Dell PowerEdge, HP ProLiant, Lenovo ThinkSystem. Dell отдельно опубликовал KB с инструкциями для своих серверов. Через iDRAC или iLO нужно обновить прошивку UEFI до версии, поддерживающей новые сертификаты, и применить обновления Windows Server.
Ноутбуки 2014-2017 годов. На старом железе с устаревшей UEFI обновления Microsoft могут не примениться. Проверьте сайт производителя ноутбука (Lenovo Vantage, HP Support Assistant, Dell SupportAssist) на наличие свежей прошивки UEFI. Без обновления UEFI новые сертификаты не встанут.
Виртуальные машины Hyper-V и VMware. Внутри VM Secure Boot управляется хостом, нужно обновить хост-сервер. Для Hyper-V на Windows Server обновления приходят через те же ежемесячные патчи. VMware ESXi требует обновлений от VMware.
Машины с отключённым Windows Update. Если у вас политики WSUS, изолированный контур или просто выключенные обновления, новые сертификаты не приедут. Включите автообновления или скачайте msu-патчи вручную.
Подробный плейбук для администраторов в официальном документе Microsoft по адресу aka.ms/GetSecureBoot.
Активация Windows и Secure Boot
Один важный нюанс для тех, кто будет вручную обновлять прошивку UEFI или менять сертификаты. Изменение Hardware ID при перепрошивке материнской платы может сбросить активацию Windows. Цифровая лицензия привязана к Hardware ID, и серьёзные изменения UEFI иногда воспринимаются серверами Microsoft как «новый компьютер».
На практике это редкий сценарий, цифровая лицензия обычно переживает обновление прошивки. Но если активация всё же слетит, потребуется новый Retail-ключ Windows для повторной активации. Подробнее про привязку лицензии в нашей статье про цифровую лицензию Windows.
На digi-keys.ru доступны Retail-ключи Windows 11 Pro и Home, активация которых закрепляется за учётной записью Microsoft. После апдейта UEFI и сертификатов достаточно ввести новый ключ через Параметры → Активация → Изменить ключ продукта.
Часто задаваемые вопросы
Компьютер выключится 24 июня 2026 года, если ничего не делать?
Нет. Windows продолжит загружаться и работать. Обычные обновления тоже продолжат приходить. Проблемы только в потере новых обновлений Secure Boot и в недоверии к новому стороннему ПО, подписанному после июня 2026.
Какие именно сертификаты истекают?
Microsoft Corporation KEK CA 2011 (Key Exchange Key), Microsoft Windows Production PCA 2011 (подпись Windows-загрузки), Microsoft UEFI CA 2011 (стороннее ПО). Все три выпущены в 2011 году со сроком 15 лет, истекают в июне 2026.
Как Microsoft предлагает решать проблему?
Через четыре новых сертификата 2023 года: Microsoft Corporation KEK 2K CA 2023, Windows UEFI CA 2023, Microsoft UEFI CA 2023 и новый Microsoft Option ROM UEFI CA 2023. Они рассылаются через ежемесячные Windows-обновления с февраля 2026.
Что если у меня Windows 10, поддержка которой закончилась?
Windows 10 закончила mainstream-поддержку 14 октября 2025 года. Сертификаты ESU-клиентам приходят, обычным домашним пользователям без ESU-подписки скорее всего нет. Это ещё одна причина перейти на Windows 11 или Windows 11 IoT LTSC 2024.
Можно ли отключить Secure Boot вместо обновления сертификатов?
Технически да, через UEFI Setup → Secure Boot → Disabled. Но это снижает общую защиту устройства от руткитов и буткитов. Также Windows 11 формально требует Secure Boot для установки, отключение может вызвать предупреждения в Параметрах.
Что делать корпоративному админу с парком 50 ПК?
Используйте Microsoft Intune, Group Policy или WSUS для централизованного rollout. Создайте политику с параметром реестра AvailableUpdates = 0x40 для нужных групп устройств. Подробный playbook от Microsoft на aka.ms/GetSecureBoot. После rollout проверьте успех через скрипт PowerShell на всех устройствах.
Что делать с Linux-загрузкой на dual-boot ПК?
Дистрибутивы Linux используют shim, подписанный Microsoft UEFI CA. Новый сертификат 2023 года также подпишет shim после релизов соответствующих дистрибутивов. До тех пор старые ISO Linux после 24 июня могут не загружаться с Secure Boot. Скачайте свежий ISO дистрибутива перед дедлайном.
Если придётся переустанавливать Windows после обновления UEFI?
На digi-keys.ru продаются Retail-ключи Windows 11 Pro и Home с гарантией активации. Ключ приходит на email автоматически за 30 секунд после оплаты, активация привязывается к учётной записи Microsoft. Гарантия активации через онлайн-чат на сайте или в Telegram @digi_keys.
Полезная статья?
Ваша оценка поможет нам стать лучше
