Lejárnak a Secure Boot tanúsítványok 2026 júniusában – mit jelent ez a géped számára?
Ha a géped 2024 előtt készült, és ritkán futtatsz frissítést, érdemes most figyelned: a Secure Boot (Biztonságos rendszerindítás) régi, 2011-ben kiállított tanúsítványai 2026 júniusában kezdenek lejárni. A Microsoft hónapok óta figyelmeztet rá, az NVIDIA, az Intel és a nagy PC-gyártók pedig közösen készítik elő az átállást. A jó hír: a legtöbb naprakész gépen a frissítés csendben, a háttérben megtörténik. A rossz hír: aki kimarad belőle, az lassan elveszíti a védelmet a rendszerindítást célzó, legalattomosabb kártevők ellen.
Ebben a cikkben közérthetően elmagyarázzuk, mi is az a Secure Boot, mi történik pontosan 2026-ban, hogyan ellenőrizheted a saját géped állapotát, és mit kell tenned, hogy ne maradj kitéve a kockázatnak. A végén egy GYIK is segít a leggyakoribb kérdésekben.
Mi az a Secure Boot, és miért fontos?
A Secure Boot egy biztonsági funkció, amely a modern számítógépek alaplapi firmware-ében, az UEFI-ben (a régi BIOS utódjában) található. A feladata egyszerű, de létfontosságú: gondoskodik arról, hogy a gép bekapcsolásakor csak megbízható, digitálisan aláírt kód futhasson le, mielőtt maga a Windows betöltődne.
Ez a néhány másodperc – a bekapcsolás és az operációs rendszer elindulása közötti idő – a támadók egyik kedvenc célpontja. Ha egy kártevő ide tud beékelődni, akkor még a vírusirtó elindulása előtt átveheti az irányítást, elrejtőzhet a rendszer szeme elől, és gyakorlatilag láthatatlanná válhat. Az ilyen kártevőket bootkitnek nevezzük. A leghírhedtebb példa a BlackLotus, amely éppen a Secure Boot egy hibáját kihasználva tudta kikapcsolni a védelmeket még a Windows betöltődése előtt.
A Secure Boot úgy akadályozza meg ezt, hogy egy „engedélyezési listát” tart fenn: minden, ami a korai indítási szakaszban lefut, érvényes digitális aláírással kell rendelkezzen. Ezeket az aláírásokat tanúsítványok hitelesítik – és pontosan ezek a tanúsítványok járnak le 2026-ban.
A Secure Boot 2012 óta a Windows-os PC-k egyik alappillére: a Windows 8 megjelenésekor lett gyakorlatilag kötelező elem a tanúsított gépeken, a Windows 11 pedig már előfeltételkéntköveteli meg a TPM 2.0 mellett. Vagyis ha Windows 11-et futtatsz, szinte biztos, hogy a Secure Boot aktív a gépeden – és így az átállás is érint téged.
Miért éppen most jár le – és miért 15 év után?
Sokakban felmerül a kérdés: ha a Secure Boot ennyire fontos, miért „avulhat el” egyáltalán? A válasz a digitális tanúsítványok természetében rejlik. Egy tanúsítvány nem örök érvényű: mindig van rajta egy kibocsátási és egy lejárati dátum, pontosan azért, hogy a bizalmi lánc időről időre megújuljon, és ne egyetlen, évtizedekig változatlan kulcson múljon a teljes biztonság. Minél tovább van forgalomban egy kulcs, annál nagyobb az esélye, hogy idővel kompromittálódik vagy elavul a mögötte álló kriptográfia.
A jelenlegi tanúsítványokat 2011-ben állították ki, jellemzően 15 éves élettartammal – innen a 2026-os lejárat. A Microsoft ezt nem titokban, hanem a hardvergyártókkal, firmware-fejlesztőkkel és chipgyártókkal (például az Intellel és az NVIDIA-val) közösen, hónapokkal előre bejelentve készíti elő. A cél, hogy az átállás a felhasználók túlnyomó többségénél láthatatlanul, a háttérben menjen végbe – és ne ismétlődjön meg egy korábbi, 2023-as DBX-frissítés körüli kavarodás, amikor egyes gépek a tiltólista frissítése után indítási hibákba futottak.
Mi történik 2026 júniusában?
A jelenlegi gépek többsége olyan Microsoft-tanúsítványokra épül, amelyeket még 2011-ben állítottak ki. A digitális tanúsítványoknak – mint minden hasonlónak – lejárati dátumuk van, és ezek a tizenöt éves tanúsítványok most érik el az élettartamuk végét. A Microsoft ezért már korábban kiadta a 2023-as utódtanúsítványokat, amelyekre most mindenkinek át kell állnia.
A konkrét lejárati dátumok és az őket felváltó új tanúsítványok a következők:
| Lejáró tanúsítvány (2011) | Lejárat dátuma | Új tanúsítvány (2023) |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026. június 24. | Microsoft Corporation KEK 2K CA 2023 |
| Microsoft Corporation UEFI CA 2011 | 2026. június 27. | Microsoft UEFI CA 2023 és Microsoft Option ROM UEFI CA 2023 |
| Microsoft Windows Production PCA 2011 | 2026. október 19. | Windows UEFI CA 2023 |
Fontos hangsúlyozni: a lejárat nem azt jelenti, hogy a géped egyik napról a másikra nem indul el. A Windows ezután is elindul, a megszokott havi frissítések is települnek tovább. A lejárat azt jelenti, hogy a régi tanúsítványokkal aláírt új védelmi elemeket a rendszer egy idő után már nem fogja tudni hitelesnek elfogadni – tehát a jövőbeli boot-szintű biztonsági frissítéseket kell az új, 2023-as tanúsítványokkal megkapnod.
DB, KEK, DBX – a Secure Boot kulcsai érthetően
Az átálláshoz érdemes megismerni három rövidítést, mert a Microsoft útmutatóiban és a gyártói leírásokban is folyamatosan visszaköszönnek. Megpróbáljuk a lehető legegyszerűbben:
DB (Signature Database, aláírás-adatbázis): ez a tulajdonképpeni „engedélyezési lista”. Azokat a tanúsítványokat tartalmazza, amelyekkel aláírt kód futhata rendszerindítás során – például a Windows Boot Manager. Ide kell bekerülnie az új Windows UEFI CA 2023 tanúsítványnak.
KEK (Key Exchange / Enrollment Key): ez egyfajta „kulcskezelő kulcs”. A KEK írja alá a DB és a DBX frissítéseit, vagyis ez engedélyezi, hogy egyáltalán megváltozzon az engedélyezési lista. Ezért a KEK-et is frissíteni kell az új 2023-as változatra, különben az új tanúsítványok nem kerülhetnek be a DB-be.
DBX (visszavonási lista): ez a „tiltólista”. Azokat az aláírásokat tartalmazza, amelyeket már nem szabad megbízhatónak tekinteni – például a feltört vagy sebezhető bootloadereket. A bootkitek elleni védelem nagyrészt azon múlik, hogy a DBX időben frissüljön.
A teljes védelemhez tehát mind a KEK, mind a DB oldalon meg kell történnie a frissítésnek. A Microsoft a 2024. február 13. után kiadott Windows-frissítésekkel tette elérhetővé, hogy a rendszer a Windows UEFI CA 2023 tanúsítványt felvegye a DB-be – ez a lépés szükséges ahhoz, hogy a jövőbeli bootloader-frissítéseket a havi frissítéseken keresztül megkapd.
Mi történik, ha nem frissítesz?
Tegyük tisztába, mert sok téves hír kering róla: a géped nem válik használhatatlanná, és nem fogsz „kék halált” kapni a lejárat napján. A Microsoft hivatalos megfogalmazása szerint az érintett eszközök továbbra is elindulnak, a Windows Update is működik, a gép a megszokott módon üzemel tovább.
Amit viszont elveszítesz, az a jövőbeli védelem a korai indítási szakaszra. A frissítés nélkül maradt eszközök – a Microsoft szavaival – „többé nem kapnak új biztonsági védelmet” a rendszerindítási folyamathoz. Ez konkrétan a következőket jelenti:
nem érkeznek többé frissítések a Windows Boot Managerhez;
nem frissül a Secure Boot adatbázis (DB) és a visszavonási lista (DBX);
nem kapod meg az újonnan felfedezett, rendszerindítást célzó sebezhetőségekelleni mitigációkat.
Más szóval: a géped a frissítés pillanatában létező védelmi szinten „befagy”. Ha a jövőben egy új, BlackLotushoz hasonló bootkit jelenik meg, a frissítés nélküli rendszer nem fogja megkapni az ellene szóló védelmet. Ez nem azonnali katasztrófa, de hosszú távon egyre nagyobb, csendesen növekvő kockázat – pontosan az a fajta, amelyet a leghosszabb ideig észre sem veszel.
Honnan tudom, hogy érintett-e a gépem?
A legtöbb 2024 után gyártott, naprakész Windows 11-es (és támogatott Windows 10-es) gépen a frissítés automatikusan megtörténik – erről mindjárt szólunk. De érdemes ellenőrizni az állapotot, különösen régebbi gépeknél. Több módszer is van:
1. Windows biztonság alkalmazás (a legegyszerűbb)
Nyisd meg a Beállítások → Adatvédelem és biztonság → Windows biztonság → Eszközbiztonság menüpontot, majd kattints a Biztonságos rendszerindításrészletekre. Ha a Secure Boot be van kapcsolva, ezt látod: „A biztonságos rendszerindítás be van kapcsolva, megakadályozza a rosszindulatú szoftverek betöltődését az eszköz indításakor.” Fontos azonban: a zöld pipa önmagában csak azt jelzi, hogy a Secure Boot aktív – nem garantálja, hogy az új 2023-as tanúsítványok már települtek. A frissítések állapotát a Windows biztonság alkalmazás külön is jelzi, ahogy a kiosztás eléri a gépedet.
2. Rendszerinformáció (msinfo32)
Nyomd meg a Windows + R billentyűket, írd be: msinfo32, majd Enter.
A „Rendszer-összefoglaló” alatt keresd a Biztonságos rendszerindítás állapota(Secure Boot State) sort. Ha az értéke Be (On), akkor a Secure Boot aktív.
3. PowerShell (haladóknak)
Rendszergazdaként megnyitott PowerShellben a Confirm-SecureBootUEFI parancs
True értéket ad vissza, ha a Secure Boot engedélyezve van. A tanúsítványok tartalmát a
Get-SecureBootUEFI parancsokkal lehet mélyebben vizsgálni, de ez már a haladó
felhasználók terepe.
Mit kell tenned? – Lépésről lépésre otthoni felhasználóként
A jó hír, hogy a legtöbb felhasználónak gyakorlatilag semmit nem kell csinálnia, csak hagynia, hogy a rendszer elvégezze a dolgát. Az alábbi sorrend a biztos megoldás:
1. Tartsd frissen a Windowst
Ez a legfontosabb lépés. A Microsoft a 2026 januári kumulatív frissítésekkelindította el a fokozatos, automatikus kiosztást, „nagy megbízhatóságú” (high confidence) eszközjelzések alapján – vagyis azokon a gépeken, ahol a firmware és a konfiguráció biztonságosan kezeli az átállást. Ha a Windows Update be van kapcsolva, és rendszeresen telepíted a frissítéseket (beleértve a havi, minden hónap második keddjén érkező Patch Tuesday csomagokat – 2026 júniusában ez június 9.), akkor jó eséllyel minden automatikusan megtörténik.
2. Ellenőrizd az állapotot
A fent leírt módon nézd meg, be van-e kapcsolva a Secure Boot, és figyeld a Windows biztonság alkalmazásban a tanúsítványfrissítés állapotát. Ha a frissítés még nem ért el a gépedhez, ez nem hiba – a kiosztás szakaszos, és heteket vehet igénybe, mire mindenkihez eljut.
3. Régebbi gép? Frissítsd az UEFI/BIOS-t
Ha a géped 2024 előtti, érdemes ellátogatni a gyártó (Dell, HP, Lenovo, ASUS, MSI stb.) támogatási oldalára, és megnézni, van-e elérhető UEFI/BIOS-firmware frissítés. Egyes régebbi alaplapok firmware-frissítés nélkül nem tudják helyesen fogadni az új tanúsítványokat. A firmware frissítését mindig a gyártó útmutatása szerint, megszakítás nélkül (lehetőleg hálózati tápellátással) végezd, mert egy félbeszakadt BIOS-frissítés komoly gondot okozhat.
4. Soha ne kapcsold ki a Secure Bootot „megoldásként”
Az interneten néha azt tanácsolják, hogy ha valami nem indul (régi játék, illesztőprogram), egyszerűen kapcsold ki a Secure Bootot. Ezt kerüld: ezzel nem frissíted, hanem teljesen megszünteted a védelmet. A cél az átállás az új tanúsítványokra, nem a funkció kikapcsolása.
Haladóknak: kézi frissítés és a registry opt-in
A vállalati és haladó felhasználók, akik nem akarnak a fokozatos kiosztásra várni, bizonyos
esetekben kézzel is engedélyezhetik a Microsoft által kezelt frissítést. Ezt a
HKEY_LOCAL_MACHINE ágban, a Secure Boot beállításai alatt található
MicrosoftUpdateManagedOptIn registry-kulccsal lehet bekapcsolni: alapértelmezetten
ki van kapcsolva, és 1 értékre állítva jelented be, hogy kéred az automatikus, Microsoft
által felügyelt telepítést (ez egyúttal az opcionális diagnosztikai adatküldést is igényli). A tényleges
kulcsfrissítést az AvailableUpdates érték 0x5944 beállítása váltja ki,
amely végigviszi a Secure Boot kulcsainak frissítését és telepítését.
Figyelem: a registry és a Secure Boot kézi módosítása haladó művelet, és csak saját felelősségre, a Microsoft hivatalos útmutatójának pontos követésével ajánlott. Hibás firmware vagy elrontott beállítás indíthatatlanná teheti a gépet. Otthoni felhasználóknak nincs szükségükerre – nekik a frissen tartott Windows a helyes és biztonságos út.
Mi a helyzet a Linuxszal és a dual-boottal?
Ha a gépeden Windows mellett Linux is fut (dual-boot), érdemes körültekintőnek lenned. A Secure Boot visszavonási listájának (DBX) frissítései időnként a nem-Windows bootloadereket – például a Linux-disztribúciók által használt shim és GRUB komponenseket – is érinthetik, ha azok régi, sebezhetőnek ítélt változatok. Ennek elkerülésére:
Tartsd frissen a Linux-disztribúciódat is – a nagy disztribúciók (Ubuntu, Fedora, Debian, Mint stb.) időben kiadják a Secure Boottal kompatibilis, frissített bootloadereket.
Dual-boot rendszeren a tanúsítvány- és DBX-frissítések telepítése után ellenőrizd, hogy mindkét rendszer rendben elindul-e.
Ha egyedi kernelt vagy aláíratlan illesztőprogramot használsz (MOK – Machine Owner Key), legyél tisztában vele, hogy ezeket a beállításokat az átállás nem törli, de a frissítések után érdemes felülvizsgálni.
Ha pont a Windows 10 támogatásának vége miatt fontolgatod a Linuxra váltást, ehhez korábban részletes útmutatót is írtunk: Vége a Windows 10 támogatásának – mit tegyél 2026-ban? (Windows 11, ESU vagy Linux).
A C:\Windows\SecureBoot mappa és más mellékhatások
Néhány felhasználó megijedt, amikor a 2026 májusi Windows-frissítés után megjelent egy új
C:\Windows\SecureBoot mappa a rendszeren, benne rendszergazdai
parancsfájlokkal. Ez teljesen normális: a mappa a tanúsítványfrissítés folyamatát
támogatja, nem kártevő, és nem szabad törölni. Hasonlóan, ha a frissítés után a Windows
biztonság alkalmazás átmenetileg jelzéseket mutat a Secure Boot állapotáról, az a folyamat része –
adj időt a kiosztásnak.
Idővonal egy pillantásra
2024. február 13.: innentől a Windows-frissítések képesek a Windows UEFI CA 2023 tanúsítványt felvenni a Secure Boot adatbázisába (DB).
2026. január: elindul a fokozatos, automatikus tanúsítványfrissítés a kumulatív frissítésekkel, „nagy megbízhatóságú” eszközökön.
2026. június 9.: a hónap Patch Tuesday-je – fontos frissítési ablak az átálláshoz.
2026. június 24.: lejár a Microsoft Corporation KEK CA 2011.
2026. június 27.: lejár a Microsoft Corporation UEFI CA 2011.
2026. október 19.: lejár a Microsoft Windows Production PCA 2011.
Miért most beszélünk róla?
A rendszerindítás biztonsága 2026-ban különösen forró téma. Egyrészt itt a tanúsítvány-átállás, másrészt a régi gépek tömegei kerültek nehéz helyzetbe a Windows 10 támogatásának megszűnésével. A kettő összefügg: épp azok a régebbi, ritkábban frissített gépek a legveszélyeztetettebbek, amelyek a Secure Boot-átállásból is kimaradhatnak. Ha tehát most átnézed a géped frissítési állapotát, egyszerre két legyet ütsz egy csapásra.
A biztonság persze nem ér véget a rendszerindításnál. A naprakész böngésző és a megbízható kártevővédelem ugyanennyire fontos – böngészőkből a 2026-os nagy böngésző-összehasonlításunk segít választani, a kártevők ellen pedig olyan eszközök adnak plusz réteget, mint a Malwarebytes vagy az AVG AntiVirus Free. És hogy a frissítések fontossága mennyire nem elvont kérdés, azt jól mutatja a friss Notepad++ sebezhetőség esete is.
Gyakran ismételt kérdések (GYIK)
Leáll a gépem 2026. június 24-én?
Nem. A géped ezután is elindul és működik, a Windows Update is fut tovább. Csak a jövőbeli, rendszerindítást érintő biztonsági frissítéseket nem kapod meg, ha kimaradsz a tanúsítványátállásból.
Nekem kell csinálnom valamit?
A legtöbb naprakész gépen nem – a frissítés automatikusan, fokozatosan érkezik a Windows Update-en keresztül. A te feladatod annyi, hogy bekapcsolva hagyd a frissítéseket, és időnként ellenőrizd a Secure Boot állapotát. Régebbi gépeknél ezen felül érdemes UEFI/BIOS-frissítést keresni a gyártónál.
Honnan tudom, hogy megkaptam már az új tanúsítványokat?
A Windows biztonság alkalmazás Eszközbiztonság → Biztonságos rendszerindítás része jelzi a frissítés állapotát. A puszta „zöld pipa” csak azt mutatja, hogy a Secure Boot aktív, nem azt, hogy az új 2023-as tanúsítványok már települtek.
Mi van, ha nincs internetkapcsolatom vagy ritkán frissítek?
Akkor nagy eséllyel kimaradsz az automatikus kiosztásból. Csatlakoztasd a gépet az internetre, és telepítsd a függőben lévő frissítéseket. Az offline tartott, ritkán frissített gépek a legveszélyeztetettebbek.
Kikapcsoljam a Secure Bootot, ha gond van?
Ne. A Secure Boot kikapcsolása megszünteti a védelmet, nem megoldja a problémát. A helyes lépés az átállás az új tanúsítványokra a Windows-frissítéseken keresztül.
Mi az a bootkit, és miért olyan veszélyes?
A bootkit olyan kártevő, amely a rendszerindítás legkorábbi szakaszába fészkeli be magát – még azelőtt, hogy az operációs rendszer és a vírusirtó elindulna. Mivel a védelmi szoftverek előtt ébred, képes elrejtőzni előlük, sőt akár ki is kapcsolni őket. Az ilyen kártevők eltávolítása rendkívül nehéz, mert „magasabbról” látják a rendszert, mint maga a Windows. Éppen ez ellen véd a Secure Boot naprakész állapota: a frissített tiltólista (DBX) és az érvényes tanúsítványok együtt akadályozzák meg, hogy aláíratlan vagy visszavont kód fusson a boot során.
Honnan tudom, hány bites a tanúsítványom, és számít ez?
Az új 2023-as tanúsítványok korszerűbb kriptográfiai alapokon állnak (a nevükben szereplő „2K” a kulcsméretre utal). Felhasználóként nem kell ezzel külön foglalkoznod – a Windows-frissítés a megfelelő tanúsítványokat telepíti. A lényeg, hogy a frissítés megtörténjen; a technikai részleteket a rendszer kezeli helyetted.
Régi gépemre sosem jön meg a frissítés. Most akkor mi van?
Egyes nagyon régi, már nem támogatott firmware-ű gépek valóban nem kapják meg az átállást, és a gyártó sem ad hozzá UEFI-frissítést. Ezeknél hosszú távon érdemes mérlegelni a gépcserét vagy egy jól karbantartott, Secure Boottal kompatibilis alternatív rendszert. A lényeg, hogy tisztában legyél a kockázattal, és ne hagyd a gépet teljesen frissítés nélkül.
Összefoglalás
A Secure Boot 2011-es tanúsítványainak 2026-os lejárata nem ok a pánikra, de jó ok arra, hogy végre rászánj öt percet a géped frissítési állapotának ellenőrzésére. A géped a lejárat után is működni fog, de a rendszerindítást célzó, legrejtettebb kártevők elleni jövőbeli védelem csak akkor marad meg, ha átállsz az új, 2023-as tanúsítványokra. A recept egyszerű: tartsd frissen a Windowst, ellenőrizd a Secure Boot állapotát, és régebbi gépnél keress UEFI/BIOS-frissítést a gyártónál. Ennyi elég ahhoz, hogy nyugodtan átléphesd a 2026-os határidőt.