Cruciale Windows Secure Boot-update is er nu voor iedereen
Microsoft begon eind vorig jaar met de uitrol van het vernieuwde Secure Boot 2023-certificaat. Dat certificaat verloopt vandaag, woensdag 24 juni 2026. Om beveiligingsupdates te blijven ontvangen en er zeker van te zijn dat je pc goed beschermd blijft, moet je een certificaatupdate installeren. Steeds meer pc’s kregen dat certificaat de afgelopen maanden al automatisch uitgerold. Nu is de Secure Boot-certificaatupdate echter beschikbaar voor alle compatibele Windows-pc’s (via Windows Latest).
In principe ontvang je het nieuwe certificaat via de beveiligingsupdate van juni 2026. Toch werd het certificaat niet meteen op alle systemen geactiveerd. Microsoft zet nu alsnog de schakelaar om, waardoor alle systemen met Windows 10 en Windows 11 aan de beurt komen. Controleer wel even of je de beveiligingsupdate van juni hebt geïnstalleerd, want daarin zit het nieuwe certificaat sowieso vervat.
De kans is overigens groot dat het nieuwe Secure Boot-certificaat al op je computer aanwezig is. Sinds april kan je dat eenvoudig controleren via het Windows Beveiliging-scherm onder Apparaatbeveiliging en vervolgens Beveiligd opstarten. Daar verschijnen drie mogelijke statussen: een groen vinkje als alles in orde is, een geel schildje wanneer er een potentieel probleem is en een rood kruisje als de beveiligingsupdate niet geïnstalleerd is en het certificaat verlopen is.
Nog geen Secure Boot-update
Het kan echter ook zijn dat je nog even geduld moet hebben. Microsoft zegt daar zelf het volgende over: “Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle updatesignalen hebben verzonden, waardoor een gecontroleerde en gefaseerde uitrol wordt gewaarborgd.” Kort gezegd: als er problemen zijn met het installeren van andere updates, wordt de certificaatupdate voorlopig nog niet uitgerold.
Microsoft benadrukt wel dat je computer gewoon blijft werken als je de update nog niet hebt ontvangen. Je gebruikt dan alleen nog niet het nieuwste certificaat en ontvangt voorlopig geen updates die de beveiliging van het Secure Boot-proces verder versterken. Dat betekent ook dat Windows 10-pc’s die buiten het Extended Security Updates-programma vallen, gewoon blijven functioneren.
Wat is Secure Boot precies?
Secure Boot is inmiddels een cruciaal onderdeel van Windows geworden. De functie controleert de digitale certificaten van alle opstartcomponenten van het besturingssysteem. Zijn die componenten aangepast of beschadigd, dan weigert Windows simpelweg op te starten. Zo voorkomt Microsoft dat rootkits en bootkits zich in het opstartproces van Windows kunnen nestelen. Dat leverde in het verleden al vaker problemen op. Sommige pc’s konden bijvoorbeeld niet meer opstarten omdat een bootkit of rootkit het systeem had besmet.
Dat controlemechanisme wordt gewaarborgd door verschillende Secure Boot-certificaten, waarvan het eerste vandaag, 24 juni, verloopt. Op 27 juni verloopt het tweede certificaat, UEFI CA 2011, terwijl op 19 oktober het derde certificaat, Windows Production PCA 2011, vervalt.
Opgelet met HP-pc’s
Heb je een HP-pc, zorg er dan voor dat je eerst de nieuwste BIOS-versie installeert voordat je de certificaatupdate uitvoert. Oudere BIOS-versies kunnen namelijk problemen veroorzaken met BitLocker. Verder is het goed om te weten dat je pc tijdens het installatieproces mogelijk meerdere keren opnieuw opstart. Twee of drie herstarts zijn daarbij niet ongewoon. Die zijn nodig om de nieuwe firmware correct te installeren en te controleren.
