Microsoft, süresi dolmaya başlayan Secure Boot sertifikalarıyla ilgili kullanıcıların karşılaşabileceği hata mesajlarını ayrıntılı şekilde açıkladı. 2011 yılında oluşturulan ilk Secure Boot sertifikalarının 24 Haziran 2026 itibarıyla geçerliliğini yitirmesiyle birlikte bazı Windows cihazlarında sertifika güncellemeleri tamamlanamadı. Microsoft’a göre Windows Secure Boot sertifika güncellemesi her cihazda aynı şekilde uygulanamadığı için farklı hata senaryoları ortaya çıkabiliyor.

Eksik Sertifika Güncellemesi Her Zaman Sistemin Açılmasını Engellemiyor

Microsoft, Secure Boot sertifikalarının süresi dolmuş olsa bile Windows’un normal şekilde açılmaya devam edeceğini belirtiyor. Günlük kullanım, uygulamaların çalışması, internet bağlantısı, aylık güvenlik güncellemeleri ile özellik güncellemeleri de etkilenmiyor. Ancak sistemler, önyükleme sürecini ilgilendiren yeni güvenlik iyileştirmelerinden yararlanamıyor. Bu nedenle Windows Secure Boot sertifikası güncellenmeyen cihazlarda gelecekte keşfedilecek kötü amaçlı önyükleyicilere karşı koruma seviyesi zamanla azalabiliyor.

Microsoft ayrıca yeni Boot Manager korumalarının uygulanamayacağını, yeni zararlı önyükleyicilerin engellenmesinde eksiklikler oluşabileceğini ve Microsoft’un Secure Boot güven zincirine bağlı çalışan bazı üçüncü taraf bileşenlerin de güncellenemeyebileceğini ifade ediyor.

Şirket, bazı cihazlarda Windows Güvenliği uygulamasında Secure Boot sertifika güncellemelerinin geçici olarak durdurulduğunu veya engellendiğini belirten bildirimler görülebileceğini açıkladı. İlk senaryoda sistem, gerekli üretici yazılımı güncellemesinin henüz hazır olmadığını bildiriyor. Microsoft’a göre bu durum, belirli UEFI ürün yazılımı sürümlerinde bulunan bilinen bir sorundan kaynaklanıyor. Üretici gerekli güncellemeyi hazırladıktan sonra OEM güncelleme kanalları üzerinden kullanıcılara sunulacak. Secure Boot hata mesajı, çoğu zaman doğrudan Windows’tan değil cihazın ürün yazılımı desteğinden kaynaklanan eksikliklere işaret ediyor.

İkinci senaryoda ise cihaz üreticisinin artık ilgili donanımı desteklemediği veya gerekli UEFI güncellemesini sağlayamayacağı belirtiliyor. Bu durumda Secure Boot güven zinciri yeni sertifikalarla güncellenemediği için cihaz mevcut koruma düzeyiyle çalışmaya devam ediyor.

Sorunun Kaynağı Donanım Üreticisinin Desteği Olabiliyor

Microsoft, 29 Haziran’da yayımladığı destek makalesinde bazı bilgisayarların neden tam Secure Boot güncellemesi alamadığını ayrıntılı biçimde açıkladı. Şirket, sorunun Windows işletim sisteminden ziyade anakart üreticisinin sunduğu UEFI ürün yazılımı desteğine bağlı olabileceğini vurguluyor. Özellikle eski donanımlarda üreticilerin destek sürecini sonlandırması, gerekli güven zinciri güncellemelerinin yüklenmesini engelleyebiliyor.

Microsoft aylardır Windows Update üzerinden yeni Secure Boot sertifikalarını dağıtmaya çalışıyor. Ancak anakart modeli, UEFI sürümü ve OEM desteği gibi değişkenler nedeniyle güncelleme başarısı cihazdan cihaza farklılık gösterebiliyor. Özellikle UEFI sertifika güncellemesi, Windows önyükleme güvenliği, Microsoft Secure Boot, OEM ürün yazılımı güncellemesi ile Windows güvenlik sertifikaları gibi bileşenlerin birlikte güncel tutulması, uzun vadeli sistem güvenliği açısından önem taşıyor.