Secure Boot Certificate expiration date June 2026

Ik snap niet helemaal waarom je er een enorm probleem van maakt. MS heeft maanden geleden al updates uitgebracht dat een geplande taak heeft gemaakt om de nieuwe certificaten te installeren. Het is niet verplicht om je BIOS bij te werken, de secure boot certificaten is in een losstaand register. Dit is heel fijn, want Linux gebruikers hebben niet altijd toegang tot de MS signing keys en zijn hierdoor in staat hun eigen key te importeren en zo alsnog fatsoenlijk secure boot te hebben met hun eigen kernel.

TheTeek schreef op vrijdag 31 oktober 2025 @ 22:19:
Volgens mij vraag ik ook letterlijk af of ik overdrijf, maar bedankt voor je antwoord.

Volgens MS;

[...]


bron; Frequently asked questions about the Secure Boot update process - Microsoft S...

Als ik geen diagnostic data naar MS stuur krijg ik de update niet?
Toch nog veel vragen en weinig duidelijkheid van MS zelf.

Kun je dit niets eens in een test setup doen die de update niet zal verwerken omdat er geen data wordt gedeeld of niet gekoppeld aan het internet.
En dan de datum vooruit te zetten waarmee de certificaten verlopen.

Ik zag dit tipic en was benieuwd of ik al up to date was (laatste update gedaan op 7 juli) en dat blijkt het geval.

Hoe bekijk je dit:

Start powershell als administrator en paste het volgende :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

Vervolgens rolt er true of valse uit.

TheTeek schreef op vrijdag 31 oktober 2025 @ 22:19:

Volgens MS;

[...]

bron; Frequently asked questions about the Secure Boot update process - Microsoft S...

Als ik geen diagnostic data naar MS stuur krijg ik de update niet?
Toch nog veel vragen en weinig duidelijkheid van MS zelf.

Je moet heel wat moeite doen om helemaal geen data naar MS te sturen. Standaard is het laagste niveau 'verplicht' en het andere niveau is 'extended'. Er is 1 ding waar ik wel moeite mee heb in het antwoord dat je van MS quote:

The customer is ultimately responsible for updating the Secure Boot Certificates.

Dit is wel heel erg kort door de bocht en verantwoordelijkheid afschuiven. Want het zijn juist MS' certificaten en keys die gaan verlopen. MS verplicht het tevens voor het OS. En dan is de gebruiker verantwoordelijk voor het updaten hiervan? Iets waar bijna niemand iets van af weet, laat staan hoe dat zou moeten. En als dan blijkt dat de update van MS niet z'n werk heeft gedaan is het lekker makkelijk wijzen naar de gebruiker, want die had het moeten uitvoeren/moet het oplossen.

Hero of Time schreef op zaterdag 1 november 2025 @ 14:04:


Dit is wel heel erg kort door de bocht en verantwoordelijkheid afschuiven. Want het zijn juist MS' certificaten en keys die gaan verlopen. MS verplicht het tevens voor het OS. En dan is de gebruiker verantwoordelijk voor het updaten hiervan? Iets waar bijna niemand iets van af weet, laat staan hoe dat zou moeten. En als dan blijkt dat de update van MS niet z'n werk heeft gedaan is het lekker makkelijk wijzen naar de gebruiker, want die had het moeten uitvoeren/moet het oplossen.

Eigenlijk is dat natuurlijk volkomen logisch, MS levert tijdig wat het moet doen, namelijk de benodigde update en de instructies hoe deze te installeren.

Echter blijft het natuurlijk uiteindelijk de eindverantwoordelijkheid van de gebruiker om de updates tijdig te installeren. Dat is met deze update niet anders dan met andere (maandelijkse) updates. Er zijn immers ook hele volkstammen die het installeren van updates uitzetten (en zelfs het systeem 'slopen' om dat voor elkaar te krijgen omdat ze denken dat dit beter is.

@Dennism, gaat mij er voornamelijk om dat een gemiddelde gebruiker, Henk en Greet op de hoek, al niet eens weten hoe de computer an sich werkt, wat SB überhaupt is en ze gewoon FB willen kunnen gebruiken om foto's van de (klein)kinderen te delen/bekijken. Als er dan problemen ontstaan met Secure Boot, wijst MS naar de gebruiker van "jij bent verantwoordelijk, zoek het maar lekker uit".

Die gebruikers hebben niet direct om Windows gevraagd, het kwam met het systeem voorgeïnstalleerd. MS heeft zelf als eis dat SB aan moet staan, is een van de bedrijven die er het meest aan heeft bijgedragen om het in de hardware te krijgen, hun keys en certificaten staan er standaard in. Hoe kan het dan dat ze er geen enkele verantwoordelijkheid over nemen nu?

Als jij een auto koopt en er blijkt een mankement mee te zijn door een productiefout, verwacht je toch ook dat de fabrikant dit voor je oplost, ipv dat je zelf aan de auto moet gaan sleutelen? Want ook de meeste eigenaren van een auto hebben er weinig verstand van. Ze kunnen het besturen, maar mechanische problemen oplossen of een APK uitvoeren doen we niet.

Nou geen enkele verantwoordelijkheid? Normaal zorgen ze toch gewoon dat het automatisch allemaal werkt? Als ze wel de verantwoordelijkheid hebben, dan moeten ze ook gewoon de updates forceren. Geen optie om de update af te wijzen of te blokkeren, je moet hem installeren.

Dit lijkt mij ook niet te vergelijken met een productiefout. Meer iets wat up to date gehouden moet worden. Waarbij er genoeg dingen zijn bij een auto die ermee kappen als je dat niet doet.

@Hero of Time

Ik denk niet dat deze auto vergelijking heel correct is. Ik zie security updates en dus ook updates als deze eerder als noodzakelijk onderhoud, en als je dan een auto vergelijking wil maken, kan je dat afhankelijk van de auto en je eigen kennis prima (soms) zelf doen, en als je dat niet kan, omdat je er niet de kennis of kunde voor hebt, of omdat je er simpelweg geen zin in hebt, laat je het doen door een ander, bijvoorbeeld de dealer of een andere garage of door bijvoorbeeld een bevriende monteur. Maar je blijft zelf verantwoordelijk om onderhoud uit te voeren (of uit te laten voeren) bij een auto in eigendom. Ik ken mensen die hele auto's uit elkaar halen, maar ook mensen die zelfs het bijvullen de olie uitbesteden omdat.

En zo werkt het bij PC's ook, ook als je zelf die kennis niet hebt, ben je zelf verantwoordelijk voor het up-to-date houden van de PC. En als er dan een keer wat mis gaat los je dat op, of laat je het oplossen door een 3de partij. Het is geen schade om iets niet zelf te kunnen bij PC onderhoud, net als dat het geen schande is als je niet je eigen auto gaat onderhouden maar dat uitbesteed. Daar hebben ze nu juist ITérs voor uitgevonden

@Sissors, ik heb al aangegeven dat de gemiddelde gebruiker niks met updates verandert. Toch kan er iets falen, want software blijft door de mens gemaakt en is niet perfect. Je kan de update zelf hebben, maar er kan iets zijn waardoor de werkelijke taak voor het installeren van de nieuwe certificaten mislukt. Daar moet MS gewoon verantwoordelijkheid voor nemen en niet afschuiven op de gebruiker.

@Dennism, zoals de tekst in de FAQ staat, zou een jurist er gehakt van maken. Dit is echt iets dat MS niet kan afschuiven op een gebruiker die de kennis en kunde niet heeft. Zoals ik hier direct boven al noem, wanneer het proces van MS faalt, moet MS hier verantwoordelijkheid voor nemen en met juist die ene zin die ik quote schuiven ze dat van zich af. En juist dát mogen ze in dit geval niet. MS is in de eerste plaats verantwoordelijk voor Secure Boot. Heeft zo veel gelobbyd dat het in elk systeem aanwezig is, vereist het dat het aan staat en gebruikt wordt met W11. Als dan van de ene op de andere dag het systeem niet meer start omdat SB is verlopen, kunnen ze niet hun kop in het zand steken als hun proces heeft gefaald dit te voorkomen.

Eerder dit jaar heb ik over dit onderwerp al meerdere posts zien langskomen, waarvan dit artikel¹ denk ik de beste uitleg geeft.

De TL;DR is: er is geen betrouwbare clock op dat punt van het bootproces, dus de geldigheidsdatum van certificaten wordt niet gecontroleerd.

Wat dat artikel ook nog aanstipt, is dat dit niet enkel gaat om software (het laden van het OS), maar ook om hardware. Alle hardware waar de UEFI interactie mee heeft tijdens het bootproces (GPU, netwerkkaart, etc) maar niet echt 'built-in' is bevat signatures. Strikt controleren op de geldigheidsdatum van die certificaten zou er toe leiden dat hardware van de ene op de andere dag ineens niet meer zou werken.

1: gevonden via HN

[ Voor 6% gewijzigd door dcm360 op 02-11-2025 10:22 ]