Microsoft resmi mulai menggulirkan sertifikat Secure Boot terbaru melalui pembaruan bulanan Windows untuk menggantikan sertifikat lama yang diterbitkan pada 2011 dan akan berakhir masa berlakunya pada akhir Juni 2026.
Langkah ini menjadi bagian dari upaya pemeliharaan keamanan berskala besar di seluruh ekosistem Windows, mengingat Secure Boot merupakan komponen fundamental dalam proses booting modern berbasis UEFI.
Secure Boot 2011 Mendekati Akhir Siklus Hidup
Secure Boot pertama kali diperkenalkan pada 2011 bersamaan dengan adopsi firmware UEFI. Fitur ini dirancang untuk memastikan bahwa hanya bootloader tepercaya yang dapat dijalankan saat komputer dinyalakan. Mekanismenya bekerja dengan memverifikasi tanda tangan digital komponen boot terhadap kumpulan sertifikat tepercaya yang tersimpan di firmware.
Dengan pendekatan tersebut, berbagai ancaman tingkat rendah seperti rootkit dapat diblokir sebelum sistem operasi sepenuhnya dimuat.
Setelah lebih dari 15 tahun digunakan secara luas, sertifikat Secure Boot generasi awal kini memasuki akhir siklus hidup yang telah direncanakan. Microsoft sebelumnya telah mengingatkan administrator TI pada November lalu agar memperbarui sertifikat keamanan yang digunakan untuk memvalidasi firmware UEFI sebelum masa berlakunya habis.
Pada Januari, perusahaan juga mengungkapkan rencana penyegaran sertifikat untuk sistem Windows 11 versi 24H2 dan 25H2 yang memenuhi syarat.
Distribusi Otomatis Melalui Windows Update
Sertifikat Secure Boot baru kini mulai didistribusikan sebagai bagian dari pembaruan rutin bulanan Windows untuk perangkat yang masih dalam masa dukungan, termasuk pengguna rumahan, bisnis, maupun institusi pendidikan yang menggunakan pembaruan yang dikelola Microsoft.
Untuk organisasi yang memiliki kebijakan manajemen pembaruan tersendiri, proses ini juga dapat dikendalikan melalui berbagai alat manajemen internal.
Microsoft menyebut proses ini sebagai salah satu upaya pemeliharaan keamanan terkoordinasi terbesar yang pernah dilakukan di ekosistem Windows. Hal ini karena pembaruan tersebut melibatkan firmware pada jutaan konfigurasi perangkat dari berbagai produsen perangkat keras dan OEM di seluruh dunia.
Banyak PC yang diproduksi sejak 2024, serta sebagian besar perangkat yang dirilis tahun lalu, disebut sudah menyertakan sertifikat Secure Boot yang diperbarui. Namun, sejumlah perangkat lama kemungkinan memerlukan pembaruan firmware terpisah dari produsen sebelum sertifikat baru dapat diterapkan. Karena itu, pengguna disarankan untuk memeriksa halaman dukungan OEM masing-masing guna memastikan firmware telah diperbarui ke versi terbaru.
Peran Administrator TI dan Mekanisme Manual
Untuk perangkat dengan tingkat kepercayaan tinggi, Microsoft akan menginstal sertifikat baru secara otomatis melalui Windows Update. Namun administrator TI tetap memiliki opsi untuk menerapkan sertifikat Secure Boot secara manual menggunakan registry key, pengaturan Group Policy, maupun Windows Configuration System (WinCS).
Langkah ini penting untuk memastikan endpoint tetap mempertahankan perlindungan Windows Boot Manager dan Secure Boot secara penuh.
Risiko Jika Tidak Diperbarui
Perangkat yang tidak menerima sertifikat Secure Boot baru sebelum tenggat Juni 2026 tidak akan langsung berhenti berfungsi. Sistem tetap dapat digunakan seperti biasa.
Namun, perangkat tersebut akan memasuki kondisi yang disebut sebagai “degraded security state”. Dalam kondisi ini, perlindungan pada level boot menjadi terbatas dan sistem tidak akan mendapatkan mitigasi baru terhadap kerentanan yang ditemukan setelah sertifikat lama kedaluwarsa.
Artinya, walaupun sistem tetap berjalan, tingkat proteksi terhadap ancaman terbaru akan menurun secara signifikan.
Microsoft juga menegaskan bahwa perangkat yang menjalankan versi Windows yang sudah tidak didukung, seperti Windows 10 (kecuali yang terdaftar dalam program Extended Security Updates), tidak akan menerima sertifikat baru karena tidak lagi mendapatkan pembaruan Windows.
Saat ini, Windows 11 disebut telah digunakan oleh lebih dari satu miliar perangkat secara global. Microsoft kembali mendorong pengguna untuk selalu menggunakan versi Windows yang masih dalam masa dukungan demi performa dan keamanan terbaik.