Избрани статии и новини от редакцията на Forbes България
Една от най-важните защитни функции в съвременните компютри навлиза в ключов преход. През 2026 г. започва изтичането на оригиналните Secure Boot сертификати на Microsoft, използвани от 2011 г. насам, а устройствата, които не получат новите ключове, няма да спрат да работят, но постепенно ще останат с по-слаба защита при стартиране.
КЛЮЧОВИ ФАКТИ
- Secure Boot е функция за сигурност, вградена в UEFI – модерния наследник на BIOS, който управлява първите секунди от стартирането на компютъра. Тя проверява дали при включване на машината се зарежда само доверен софтуер, като валидира цифровите подписи на компоненти като драйвери, EFI приложения и bootloader-а на операционната система, преди Windows да поеме контрола върху системата. Microsoft описва Secure Boot като защита срещу зловреден софтуер, който атакува машината още преди зареждането на операционната система.
- Проблемът идва от факта, че първите Microsoft Secure Boot сертификати, въведени с Windows 8 и масово използвани от Windows устройствата от 2011 г. насам, достигат края на жизнения си цикъл. Според Microsoft сертификатът Microsoft Corporation KEK CA 2011 изтича на 24 юни 2026 г., Microsoft UEFI CA 2011 – на 27 юни 2026 г., а Microsoft Windows Production PCA 2011 – на 19 октомври 2026 г.
- Компанията вече е издала нови сертификати от поколение 2023, сред които Microsoft Corporation KEK 2K CA 2023, Windows UEFI CA 2023, Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023. Тяхната задача е да запазят веригата на доверие при стартиране на устройствата и да позволят на Windows да продължи да получава актуализации за Secure Boot конфигурацията.
- За повечето потребители процесът трябва да мине автоматично чрез Windows Update и актуализации от производителите на хардуер. Microsoft посочва, че значителна част от Windows устройствата ще бъдат обновени автоматично, а много OEM производители ще предоставят фърмуерни актуализации, когато това е необходимо.
- Ако устройството не получи новите сертификати, то няма да спре да работи и ще продължи да се стартира нормално. Рискът е друг: Microsoft предупреждава, че такива системи вече няма да могат да получават нови защити за ранния етап на зареждане, включително актуализации на Windows Boot Manager, Secure Boot базите данни, списъците с оттеглени подписи и защитите срещу нови уязвимости на boot ниво.
ВАЖЕН ЦИТАТ
„Устройствата, които не са получили по-новите сертификати от 2023 г., ще продължат да се стартират и работят нормално, а стандартните Windows актуализации ще продължат да се инсталират. Те обаче вече няма да могат да получават нови защити за ранния процес на зареждане“, посочва Microsoft в официалната си документация.
ДОПИРАТЕЛНА
За домашните потребители най-важното действие е просто: Windows и фърмуерът на компютъра трябва да се поддържат актуални. По-сложна е ситуацията при корпоративни среди, сървъри, IoT устройства, машини с нестандартни boot конфигурации, dual boot системи или компютри със специфични настройки на Secure Boot. Там масовото внедряване на новите ключове крие риск от конфликти с конкретни модели и производители, затова Microsoft препоръчва поетапно тестване и контролирано разгръщане.
КЛЮЧОВА ИСТОРИЯ
Secure Boot се появи като част от по-широката промяна в компютърната сигурност след ерата, в която антивирусният софтуер беше основната линия на защита. С навлизането на UEFI и Windows 8 Microsoft и производителите на хардуер започнаха да преместват част от защитата по-дълбоко – още в момента преди операционната система да се зареди. Причината беше проста: ако зловреден код успее да се настани в boot процеса, той може да бъде почти невидим за традиционните инструменти за сигурност.
Затова Secure Boot не е просто още една настройка в BIOS менюто. Той е механизъм на доверие, вграден в самата логика на стартиране на компютъра. Фърмуерът проверява дали кодът, който се опитва да се зареди, е подписан от доверен издател. Ако не е, системата трябва да го блокира. Това е особено важно срещу bootkits и руткитове – атаки, които се опитват да превземат машината преди Windows да е стартирал напълно.
Изтичането на сертификатите през 2026 г. показва и нещо по-голямо: цифровата сигурност има собствена инфраструктура и собствен жизнен цикъл. Ключовете, които днес изглеждат невидими и постоянни, не могат да останат валидни безкрайно. Те трябва да се подменят, преди самите те да се превърнат в слабост. В този смисъл предстоящата актуализация не е просто техническа подробност, а тест за това колко гладко Windows екосистемата – от Microsoft до производителите на дънни платки и корпоративните ИТ отдели – може да обнови фундаментален слой от доверието, върху което работят стотици милиони устройства.
