Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
- 2011 Secure Boot sertifikaları 2026 yılında sona erecek ve sistemlerin sorunsuz açılabilmesi için 2023 sertifikalarına geçiş yapılması gerekiyor.
- Secure Boot 2023 sertifikaları yüklü değilse, ileride önyükleme doğrulama hataları ve güncelleme sorunları yaşanabilir.
- PowerShell üzerinden tek komutla sisteminizde yeni sertifikaların yüklü olup olmadığını birkaç saniyede kontrol edebilirsiniz.
- Event ID 1801 kaydı bir hata değil, sertifika geçiş sürecinin değerlendirme aşamasında olduğunu gösteren bilgilendirme kaydıdır.
- Windows Update’i düzenli çalıştırmak, sertifika geçişini otomatik ve güvenli şekilde tamamlamanın en pratik yoludur.
Bilgisayarınızda güncellenmiş Secure Boot sertifikaları yüklü mü? Özellikle Windows 11 kullanıcıları için bu sorunun yanıtı, sistem güvenliği ve sorunsuz açılış süreci açısından kritik önem taşır.
Bazı Windows 11 ve Windows 10 cihazlarında, ilk olarak 2011 yılında yayımlanan Secure Boot sertifikaları Haziran 2026’da süresi dolacak şekilde planlandı. Microsoft, bu sertifikaları aktif olarak 2023 tarihli yeni sertifikalarla değiştirmektedir. Ancak olası başlangıç hataları veya güvenlik doğrulama sorunları yaşamamak için sisteminizin yeni sertifikalara geçiş yapıp yapmadığını doğrulamanız önerilir.
Önemli Not: Haziran 2026 sonrasında, eski 2011 sertifikalarıyla çalışan sistemlerde güven zinciri doğrulama hataları oluşabilir. Bu durum güncelleme alamama veya açılış sorunlarına yol açabilir.
Secure Boot Nedir ve Neden Bu Kadar Önemlidir?
Secure Boot, UEFI (Unified Extensible Firmware Interface) tabanlı bir firmware güvenlik özelliğidir. Amaç, cihazın yalnızca üretici tarafından dijital olarak imzalanmış ve güvenilir kabul edilen yazılımları yüklemesini sağlamaktır.
Bu özellik, işletim sistemi yüklenmeden önce kritik önyükleme bileşenlerinde yapılabilecek yetkisiz değişiklikleri engelleyerek açılış sürecini korur. Böylece kötü amaçlı yazılımların sistem başlangıcında devreye girmesi önlenir.
Secure Boot bu doğrulamayı, Sertifika Yetkilileri (Certificate Authorities – CA) olarak bilinen kriptografik anahtarlar aracılığıyla gerçekleştirir. Bu sertifikalar, firmware modüllerini ve önyükleyicileri doğrulayarak bir güven zinciri (chain of trust) oluşturur.
2011 Sertifikalarının Süresi Neden Kritik?
Dijital sertifikalar belirli bir geçerlilik süresine sahiptir. 2011 yılında yayımlanan Secure Boot CA sertifikalarının Haziran 2026’da süresi dolacaktır. Bu tarihten sonra sistemlerin, güvenli biçimde açılmaya ve güncelleme almaya devam edebilmesi için 2023 sertifikalarının yüklü olması gerekir.
Uyarı: 2023 sertifikaları yüklü değilse, süresi dolan CA’lar nedeniyle önyükleme doğrulaması başarısız olabilir. Bu durum sistem açılışını doğrudan etkileyebilir.
Özellikle 2024 ve sonrasında satın alınan cihazlar genellikle yeni sertifikalarla birlikte gelir. Daha eski donanımlarda ise Microsoft, bu güncellemeleri Windows Update aracılığıyla dağıtmaktadır.
Manuel İşlem Gerekli mi?
Microsoft, Secure Boot sertifikalarını düzenli sistem güncellemeleri kapsamında otomatik olarak tespit eder ve günceller. Bu nedenle genellikle manuel bir işlem yapmanız gerekmez. Yapmanız gereken en önemli şey, Windows Update’i aktif tutmak ve aylık güvenlik güncellemelerini zamanında yüklemektir.
Bilgi: Secure Boot sertifika güncellemeleri, çoğunlukla aylık toplu güvenlik güncellemeleri içinde dağıtılır. Güncellemeleri ertelemek risk oluşturabilir.
Bununla birlikte, sisteminizin gerçekten 2023 sertifikalarına geçiş yapıp yapmadığını anlamak hem teknik farkındalık hem de proaktif güvenlik yönetimi açısından iyi bir uygulamadır.
Bu Rehberde Ne Öğreneceksiniz?
Bu rehberde, bilgisayarınızda 2023 Secure Boot sertifikalarının yüklü olup olmadığını nasıl kontrol edebileceğinizi adım adım ele alacağız. Amacımız, Haziran 2026 öncesinde sisteminizin hazır olduğundan emin olmanızı sağlamak ve olası güvenlik kesintilerinin önüne geçmektir.
Kritik Uyarı: Sertifika geçişi tamamlanmamış sistemlerde ileride oluşabilecek güvenlik veya açılış problemleri, basit bir Windows güncellemesiyle önlenebilir. Güncellemeleri ihmal etmeyin.
Haziran 2026 Öncesi: Secure Boot 2023 Sertifikalarının Yüklü Olduğunu Kontrol Edin
Bilgisayarınızda 2023 Secure Boot sertifikalarının yüklü olup olmadığını kontrol etmek, 2026’da süresi dolacak 2011 sertifikalarına karşı önleyici bir güvenlik adımıdır. Aşağıdaki adımlarla sistemi hızlıca doğrulayabilirsiniz.
Önemli Not: Bu işlem için yönetici (Administrator) yetkileri gerekir. Standart kullanıcı hesabıyla komut çalışmayacaktır.
Adım Adım Kontrol İşlemi
Başlat menüsünü açın (Windows 11).
Arama kutusuna PowerShell (veya Terminal) yazın.
Üstte çıkan sonuca sağ tıklayın ve Yönetici olarak çalıştır seçeneğini seçin.
Aşağıdaki komutu yazın ve Enter tuşuna basın:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Sonuç Nasıl Yorumlanır?
Komut çıktısı True ise, sisteminizde Windows UEFI CA 2023 sertifikası yüklüdür. Bu da cihazınızın 2026 sonrası için hazır olduğu anlamına gelir.
Eğer sonuç False olarak görünüyorsa, sisteminiz henüz yeni sertifikalara geçiş yapmamış olabilir.
Uyarı: “False” sonucu almanız, sisteminizin hemen risk altında olduğu anlamına gelmez. Büyük olasılıkla gerekli güncelleme henüz yüklenmemiştir. Windows Update’i kontrol etmeniz önerilir.
Komut Çalışmazsa Ne Yapmalısınız?
Eğer komut hata verirse, aşağıdaki noktaları kontrol edin:
- Secure Boot etkin mi? (UEFI ayarlarından kontrol edilebilir.)
- Sisteminiz UEFI modunda mı? (Legacy/CSM modunda ise komut çalışmayabilir.)
- PowerShell’i gerçekten yönetici yetkisiyle mi açtınız?
Bilgi: Secure Boot sertifika güncellemeleri genellikle aylık güvenlik güncellemeleri kapsamında dağıtılır. Güncellemeleri düzenli yüklemek, manuel müdahale ihtiyacını ortadan kaldırır.
Bu kontrol işlemi yalnızca birkaç saniye sürer ancak uzun vadeli sistem güvenliği açısından önemli bir doğrulama sağlar. Haziran 2026’ya kadar güncellemelerinizi aksatmamak, güvenli açılış zincirinin kesintisiz devam etmesini garanti eder.
Secure Boot 2011 Sertifikaları 2026’da Sona Eriyor – Her Sertifikanın Görevi Nedir?
Modern sistemlerin neredeyse tamamı, Microsoft’un 2011 tarihli Secure Boot sertifikalarına dayanır. Ancak bu sertifikaların geçerlilik süresi 2026 yılında dolmaktadır. İşte kritik tarihler:
- Microsoft Corporation KEK CA 2011 – 24 Haziran 2026
- Microsoft Corporation UEFI CA 2011 – 27 Haziran 2026
- Microsoft Option ROM UEFI CA 2011 – 27 Haziran 2026
- Microsoft Windows Production PCA 2011 – 19 Ekim 2026
Uyarı: Bu sertifikalar Secure Boot güven zincirinin temelini oluşturur. Süre dolmadan önce 2023 sertifikalarına geçiş yapılmazsa önyükleme doğrulama sorunları oluşabilir.
Her Sertifika Ne İşe Yarar?
Aşağıda her bir sertifikanın Secure Boot güven mimarisindeki rolünü net şekilde özetledim:
- KEK (Key Exchange Key) Sertifikası: Secure Boot imza veritabanlarının (DB/DBX) güncellenmesine izin veren güven kökü (trust anchor)dür. Anahtar yönetimi açısından kritik bileşendir.
- UEFI CA Sertifikaları: Önyükleyicilerin ve firmware bileşenlerinin (üçüncü taraf EFI uygulamaları dahil) dijital imzalarını doğrular. Bootloader güvenliği bu katmana dayanır.
- Option ROM CA: Donanım bileşenlerine ait firmware Option ROM modüllerini doğrular. Özellikle ekran kartı ve depolama denetleyicileri gibi bileşenlerde etkilidir.
- Microsoft Windows Production PCA 2011: Windows bootloader’ının ve ilişkili sistem dosyalarının firmware tarafından güvenilir kabul edilmesini sağlar. Yani işletim sisteminin güvenli şekilde başlatılmasını teminat altına alır.
Yeni 2023 Sertifikaları Nasıl Yükleniyor?
Sertifikalar süresinin dolmasına yaklaşırken, Microsoft ve bilgisayar üreticiniz (OEM) yeni 2023 CA sertifikalarını otomatik olarak dağıtır. Bu dağıtım genellikle:
- Windows Update üzerinden,
- Firmware güncellemeleriyle,
- veya DBX güncellemeleri aracılığıyla gerçekleştirilir.
Bilgi: Bu geçiş süreci tamamen otomatik planlanmıştır. Kullanıcının manuel sertifika yüklemesi yapması önerilmez.
Event Viewer’da Event ID 1801 Neden Görünür? (Ve Neden Hata Değildir?)
Geçiş sürecinde, Event Viewer içerisinde şu kaydı görebilirsiniz:
Event ID 1801
Kaynak: TPM-WMI (Microsoft-Windows-TPM-WMI)
Mesaj: BucketConfidenceLevel: Under Observation – More Data Needed
İlk bakışta bir hata gibi görünse de bu bir sistem arızası değildir. Bu kayıt, işletim sisteminin güncellenmiş Secure Boot sertifikalarını algıladığını ancak henüz firmware’e uygulamadığını gösterir.
Önemli Not: Event ID 1801 bir TPM arızası, Secure Boot bozulması veya BIOS hatası anlamına gelmez. Bu kayıt tamamen bilgilendirme amaçlıdır.
Secure Boot anahtarları doğrudan UEFI firmware içinde bulunduğu ve önyükleme zincirini etkilediği için geçiş süreci dikkatli şekilde yürütülür. Microsoft güncellemeyi kademeli olarak dağıtır ve sistem uyumluluğunu doğrular.
Secure Boot Sertifika Geçişi İki Aşamada Gerçekleşir
- Hazırlık (Staging) Aşaması: Windows 11 (veya Windows 10), yeni sertifikayı işletim sistemi içinde indirir ve hazırlar.
- Firmware Yazım Aşaması: Uyumluluk kontrolleri tamamlandıktan sonra sertifika UEFI firmware’e yazılır ve aktif hale getirilir.
Cihazlar bir süre bu iki aşama arasında kalabilir. Bu nedenle Event Viewer’da TPM-WMI kayıtlarının görünmeye devam etmesi normaldir.
Kritik Uyarı: Event ID 1801 kaydı tek başına bir sorun göstergesi değildir. Gerçek bir problem ancak sistem açılışında doğrulama hataları oluşursa söz konusu olur.
Özetle, Event ID 1801 yalnızca Windows’un cihazınızı Secure Boot sertifika geçiş sürecinde değerlendirdiğini gösteren bir durum kaydıdır. “Under Observation” ifadesi, sistemin doğrulama sürecinde olduğunu belirtir; bu bir arıza sinyali değildir.
