Secure Boot: waarom 2026 een belangrijk jaar wordt

Secure Boot is al bijna 15 jaar een onzichtbare maar essentiële beveiligingslaag binnen Windows. Sinds Windows 8 beschermt het het opstartproces tegen rootkits en andere pre-OS-malware door alleen vertrouwde componenten toe te laten.

Deze bescherming is afhankelijk van een keten van certificaten uit 2011. Die bereiken hun einde van de levensduur tussen juni en oktober 2026, met de eerste kritieke vervaldatums rond juni. Daarmee wordt 2026 een belangrijk kantelpunt voor organisaties die hun systemen veilig willen houden.

Met Jorg Tibosch, Modern Workplace Consultant bij Innvolve

Waarom certificaten verlopen en wat dat betekent

Microsofts oorspronkelijke Secure Boot-CA’s uit 2011 verlopen tussen juni en oktober 2026. De meest urgente deadlines vallen in juni 2026, omdat dan meerdere fundamentele certificaten hun einde bereiken. Dit zijn certificaten die gebruikt worden om bootloaders te valideren, signature databases te updaten en software van derden vóór het opstarten te autoriseren.

Wanneer deze certificaten verlopen, kan dat impact hebben op de hele Secure Boot-trust chain:

• Nieuwe bootloaders of pre-bootcomponenten worden mogelijk niet vertrouwd.
• Firmware kan Secure Boot-updates en DBX-revocations weigeren.
• BitLocker-herstelprompts kunnen verschijnen.
• Anti-cheatproblemen kunnen ontstaan.
• Het systeem kan niet correct opstarten.
• Pre-boot beveiligingsupdates kunnen uitblijven, waardoor vroege opstartbescherming verzwakt.

Kort gezegd: als systemen niet tijdig worden bijgewerkt, kan de Secure Boot-vertrouwensketen verstoord raken. In de praktijk kan dit leiden tot opstartproblemen, foutmeldingen of aanvullende herstelacties, afhankelijk van de configuratie en staat van het systeem. 

Wat Microsoft doet om problemen te voorkomen

Microsoft heeft inmiddels een nieuwe familie Secure Boot-certificaten uitgebracht, namelijk de 2023 Secure Boot certificates. Deze verlengen de trust chain tot 2053. De uitrol gebeurt via Windows Update en start vanaf de beveiligingsupdate van januari 2026.

Apparaten die in 2024 of later zijn aangeschaft, hebben deze certificaten meestal al standaard meegekregen. Oudere systemen, waaronder Windows 10, Windows 11, Windows Server-edities en veel virtuele machines, moeten deze updates vóór juni 2026 ontvangen om problemen te voorkomen.

Let op: de exacte timing en uitrol van Secure Boot-certificaatupdates kan variëren per apparaat, firmwareversie en Windows-release. Raadpleeg daarom altijd de meest recente documentatie van Microsoft voor de actuele status. 

Deze apparaten dienen de volgende stappen te volgen:

1. Zorg dat apparaten Windows-updates ontvangen

Microsoft geeft aan dat de veiligste en meest betrouwbare manier om nieuwe Secure Boot-certificaten te ontvangen is om Windows Update, of updates via WSUS of Intune, het uitrolproces te laten beheren.

Controleer daarom of automatische updates zijn ingeschakeld, of update-ringen en compliance-policies geen firmware-gerelateerde updates blokkeren en of beveiligingsupdates niet worden uitgesteld tot na juni 2026.

Er zijn meerdere manieren om te zorgen dat automatische updates correct staan ingesteld voor deze firmware-gerelateerde certificaatupdates.

• Voor cloud-beheerde apparaten: Microsoft Intune is de voorkeursmethode. Hiervoor maak je een configuratieprofiel via Settings catalog met de instellingen Enable SecureBoot Certificate Updates en Configure Microsoft Update Managed Opt In. De eerste instelling bepaalt of Windows het Secure Boot-certificaatuitrolproces start. De tweede instelling maakt deelname mogelijk aan een Controlled Feature Rollout van de Secure Boot-certificaatupdate, beheerd door Microsoft. Dit vereist dat diagnostische gegevens naar Microsoft worden verzonden.
• Voor Domain Joined apparaten: Group Policy is de meest logische route. Gebruik hiervoor de instellingen Enable Secure Boot Certificate Deployment en Certificate Deployment via Controlled Feature Rollout. Ook hier bepaalt de eerste instelling of Windows het uitrolproces start, en maakt de tweede instelling deelname aan de Controlled Feature Rollout mogelijk.

Meer informatie over de beschikbare uitrolmethoden is te vinden in Microsofts Secure Boot playbook-blog.

2. Controleer de Secure Boot-certificaatstatus

De snelste manier om overzicht te krijgen is het Secure Boot status report in Intune.

Heb je Autopatch niet aanstaan, dan is er gelukkig een alternatief. Met een PowerShell-detectiescript kun je alsnog inzicht krijgen in de Secure Boot-status van je apparaten. Het script controleert of het nieuwe Windows UEFI CA 2023-certificaat aanwezig is in de firmware-database van het apparaat. Daarnaast controleert het of het apparaat correct is geconfigureerd en technisch in staat is om het nieuwe Secure Boot-certificaat te ontvangen. Tot slot controleert het script de installatiestatus van het nieuwe Secure Boot-certificaat.

Als het script vaststelt dat de status Updated is, of dat het apparaat het nieuwe certificaat via Windows Update kan ontvangen, dan sluit het af met succescode 0. Is dat niet zo, dan sluit het script af met foutcode 1.

Het is aan te raden om dezelfde, met apparaten gevulde, securitygroepen te gebruiken voor zowel het instellen van het beleid als voor het toewijzen van het detectiescript. Dat houdt de aanpak overzichtelijk en consistent.

3. Stem af met OEM-leveranciers

Secure Boot draait niet alleen om Windows, maar ook om firmware. Het gebruikt certificaten op zowel besturingssysteemniveau als firmware-niveau. Daarom is het net zo belangrijk om ervoor te zorgen dat je apparaten de laatste firmwareversies draaien.

Zowel het Autopatch-rapport als het detectiescript helpen je om te zien welke apparaten extra aandacht nodig hebben. Begin daarom nu al met afstemming richting OEM-leveranciers, zodat je zeker weet dat de juiste firmware tijdig beschikbaar is vóór de expiratieperiode.

4. Test vóór 17 juni 2026

Wacht niet tot het laatste moment. Begin met testen in een beperkte groep apparaten. In grotere omgevingen is het verstandig om ervoor te zorgen dat alle modellen vertegenwoordigd zijn. Zo kun je bevestigen dat Secure Boot ingeschakeld blijft, bootloaders normaal blijven valideren, BitLocker geen onverwachte herstel-lussen veroorzaakt en dat de UEFI-firmware de bijgewerkte 2023 CA’s correct rapporteert.

Conclusie

Het verlopen van de Secure Boot-certificaten in 2026 is de eerste grote vernieuwingsronde sinds Secure Boot ooit werd geïntroduceerd. Hoewel Microsoft het updateproces grotendeels automatiseert, kan onvoldoende voorbereiding leiden tot grootschalige opstartproblemen of een verzwakte beveiliging na 17 juni 2026.

Door de certificaten nu al te updaten, zorg je voor een soepele overgang naar het volgende decennium van Secure Boot-bescherming. Zonder verrassingen wanneer de certificaten uit 2011 uiteindelijk verlopen.