Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
- Microsoft, eski Secure Boot sertifikalarının desteğini Haziran 2026 itibarıyla sonlandırmaya hazırlanıyor.
- Secure Boot 2023 güncellemesi yapılmasa bile bilgisayar çalışmaya devam edecek, ancak kritik boot güvenliği korumaları zamanla zayıflayabilecek.
- Windows 11 kullanıcıları, yeni Secure Boot sertifikalarının yüklü olup olmadığını Windows Güvenliği uygulamasından kontrol edebiliyor.
- BitLocker kullanan sistemlerde güncelleme süreci genel olarak otomatik yönetiliyor, ancak bazı kurumsal yapılarda ek doğrulama gerekebiliyor.
- Microsoft, özellikle Hyper-V ve PXE altyapılarında geçiş sürecinin önce sınırlı cihazlarda test edilmesini öneriyor.
Microsoft, Windows 11 ve Windows 10 sistemlerini yeni Secure Boot 2023 sertifikalarına geçiriyor. 2011 yılından beri kullanılan eski anahtarların desteği Haziran 2026’da sona erecek. Güncelleme yapılmasa bile bilgisayarlar çalışmaya devam edecek; ancak önemli güvenlik güncellemeleri ve önyükleme zinciri koruması kaybedilecek.
Modern bilgisayarların temel güvenlik mimarilerinden biri için süre yavaş yavaş doluyor. Haziran 2026’da, Windows ekosisteminde 2011’den beri kullanılan orijinal Secure Boot sertifikalarının geçerliliği resmi olarak sona erecek.
Microsoft, milyonlarca bilgisayarın bir anda savunmasız kalmasını veya önyükleme sorunları yaşamasını önlemek için şu anda Secure Boot 2023 sertifikalarına yönelik kapsamlı bir geçiş süreci yürütüyor.
Bu işlem doğrudan anakartın UEFI firmware (UEFI donanım yazılımı) katmanını etkilediği için oldukça hassas kabul ediliyor. Microsoft, kullanıcıların ve BT yöneticilerinin sorularını yanıtlamak için Mart 2026’da kapsamlı bir AMA (Ask Microsoft Anything / Microsoft’a Her Şeyi Sor) oturumu düzenledi.
Oturuma güvenlik mühendisi Arden White, baş yazılım mimarı Scott Shell ve mühendislik grup yöneticisi Richard Powell katıldı. Microsoft bu oturumda Secure Boot güncellemesinin nasıl çalıştığını, 2026 son tarihinin görmezden gelinmesi durumunda ne olacağını ve şirketlerin özel senaryolarda nasıl hareket etmesi gerektiğini ayrıntılı biçimde açıkladı.
Bilgi: Bu geçiş, bilgisayarın hemen çalışmaz hâle gelmesi anlamına gelmiyor. Asıl risk, zaman içinde güvenlik güncellemelerinden ve yeni önyükleme korumalarından mahrum kalmak.
Secure Boot Nedir ve Microsoft Neden Sertifikaları Değiştiriyor?
Secure Boot, bilgisayarın yalnızca donanım üreticisi tarafından güvenilir kabul edilen yazılımlarla açılmasını sağlayan bir güvenlik standardıdır.
Bilgisayar başlatıldığında firmware, önyükleme zincirindeki her bileşenin kriptografik imzasını kontrol eder. Buna UEFI firmware drivers (UEFI donanım yazılımı sürücüleri), Option ROM, EFI applications (EFI uygulamaları) ve OS Boot Manager (İşletim Sistemi Önyükleme Yöneticisi) dahildir.
Sistem şu anahtar hiyerarşisiyle çalışır:
- PK (Platform Key / Platform Anahtarı): OEM üreticisine ait anahtardır ve KEK erişimini yönetir.
- KEK (Key Exchange Key / Anahtar Değişim Anahtarı): İmza veritabanlarının güncellenmesi için kullanılır.
- DB (Signature Database / İmza Veritabanı): Windows Boot Manager’ın yüklenmesine izin verilen güvenilir sertifikaları içerir. Buna 2011 Microsoft sertifikaları ve yeni 2023 sertifikaları dahildir.
- DBX (Revoked Signature Database / İptal Edilmiş İmza Veritabanı): Ele geçirilmiş veya zararlı sertifikaların yer aldığı kara listedir. Örneğin BlackLotus gibi bootkit türü zararlıların imzaları buraya eklenir.
2011 tarihli orijinal Secure Boot sertifikalarının kriptografik imzaları 2026’da sona yaklaşıyor. Bu nedenle Microsoft’un yeni 2023 sertifikalarını firmware içine yerleştirmesi, Windows Boot Manager’ı yeni anahtarlarla imzalanmış sürümle değiştirmesi ve ardından eski sertifikalara duyulan güveni kademeli olarak kaldırması gerekiyor.
Bu geçiş kapsamında Microsoft, Windows 11’de görülen yeni Secure Boot klasörünün bir hata olmadığını ve silinmemesi gerektiğini de doğruladı. Bu klasör, kriptografik dosyaların anakart firmware’ine yazılmadan önce sistemde saklanması için kullanılıyor.
C:\Windows\SecureBoot\ExampleRolloutScripts
Eski Donanım ve Kapalı Secure Boot Güncellemeyi Engelleyebilir
AMA oturumundaki ilk sorulardan biri eski donanım desteğiyle ilgiliydi. Microsoft’a, hâlâ Legacy BIOS kullanan bir cihazda kayıt defteri üzerinden güncelleme zorla başlatılırsa ne olacağı soruldu.
Scott Shell’e göre güncelleme süreci bu tür yapılandırmaları doğru şekilde algılayabiliyor. Bilgisayar klasik Legacy BIOS kullanıyorsa fiziksel olarak Secure Boot desteğine sahip değildir. Bu durumda sistem SecureBootCapable = False ve SecureBootEnabled = False değerlerini alır ve Windows güncelleme girişimini tamamen atlar.
Cihaz CSM (Compatibility Support Module / Uyumluluk Destek Modülü) üzerinden Legacy BIOS emülasyonu yapıyor, ancak UEFI ve Secure Boot desteğine sahipse güncelleme normal şekilde devam eder.
Bir diğer yaygın senaryo, Secure Boot sertifikalarını güncellemeye çalışırken özelliğin BIOS üzerinden kapalı olmasıdır.
Uyarı: Microsoft, Secure Boot kapalıysa güncelleme sürecini bilinçli olarak durduruyor. Bunun nedeni, farklı anakart ve UEFI firmware yapılarında sertifika güncellemesinin tutarsız sonuçlar doğurabilmesi.
Bazı anakartlar Secure Boot kapalıyken bile sertifikaları güncelleyebilirken, bazıları önyükleme zincirini bozabilir veya Secure Boot tekrar açıldığında sertifikaları beklenmedik şekilde değiştirebilir. Bu yüzden Microsoft, güncelleme sırasında Secure Boot’un aktif olmasını şart koşuyor.
Eğer cihaz Secure Boot açıldığında Windows’u başlatamıyorsa, kullanıcının önce BIOS ayarlarıyla ilgili sorunu çözmesi gerekir. Bu sorun çoğunlukla MBR ve GPT disk bölümleme şemaları arasındaki uyumsuzluktan kaynaklanır. Ancak bundan sonra sistem Secure Boot 2023 sertifikalarını alabilir.
Güncelleme BitLocker’ı Dikkate Alıyor, Ancak Birkaç Yeniden Başlatma Gerektirebilir
Firmware güncellemesi riskli bir işlem olarak kabul edildiği için Microsoft yeni mekanizmayı Controlled Feature Rollouts (CFR / Kontrollü Özellik Yayılımı) ve Latest Cumulative Updates (LCU / En Güncel Toplu Güncellemeler) üzerinden kademeli olarak dağıtıyor.
Kullanıcılar, güncelleme sırasında sistemin yeniden başlatma davranışında alışılmadık durumlar fark etti. Bir AMA katılımcısı, zamanlanmış görevi manuel olarak çalıştırdıktan sonra sunucunun işlem tamamlanmadan önce birkaç kez arka arkaya yeniden başlatıldığını belirtti.
Richard Powell, Windows 11’in bu güncellemeden sonra birkaç kez yeniden başlatılabileceğini ve bunun bilgisayarda bir arıza olduğu anlamına gelmediğini doğruladı. Bu davranış, Secure Boot 2023 geçişinin aşamalı yapısından kaynaklanıyor.
Yeni verilerin firmware’e yazılması birkaç adım gerektirir: Bir yeniden başlatma sertifikaların hazırlanması, bir diğeri firmware seviyesinde uygulanması, sonraki yeniden başlatma ise yeni anahtarlarla imzalanmış bootloader’ın yüklenmesi için kullanılır.
Otomatik modda Windows bu süreci erken önyükleme aşamalarında kullanıcıdan mümkün olduğunca gizlemeye çalışır. Ancak işlem manuel başlatıldığında çoklu yeniden başlatmalar daha görünür hâle gelir.
Bu süreç, BitLocker şifrelemesinin geçici olarak askıya alınıp alınmaması gerektiği sorusunu da gündeme getirdi.
Microsoft, BitLocker’ın askıya alınmasına gerek olmadığını belirtti. Scott Shell’e göre güncelleme süreci BitLocker ile uyumlu çalışacak şekilde tasarlandı. İşlem sırasında sistem BitLocker ve Virtual Secure Mode (VSM / Sanal Güvenli Mod) anahtarlarını otomatik olarak yeniden bağlar. Böylece Windows Hello gibi özellikler yeniden başlatmalardan sonra kullanıcıyı kilitlemeden çalışmaya devam eder.
Bilgi: Normal şartlarda Secure Boot 2023 geçişi sırasında BitLocker kurtarma anahtarı istenmemelidir. Ancak karmaşık kurumsal ortamlarda bazı firmware veya güvenlik değişiklikleri kurtarma anahtarı istemini tetikleyebilir.
Bazı kullanıcılar ise belirli sürücü güncellemelerinden sonra sistemin bir sonraki açılışta BitLocker recovery key (BitLocker kurtarma anahtarı) istediğini bildirdi.
Microsoft’a göre sıradan sürücü güncellemeleri Secure Boot zincirini etkilemez. Ancak Windows Update üzerinden dağıtılan ve Platform Key (PK) veya Key Exchange Key (KEK) değiştiren firmware güncellemeleri BitLocker koruma parametrelerini etkileyebilir.
Normal koşullarda sistem BitLocker kurtarma anahtarı istememelidir. Buna rağmen karmaşık kurumsal yapılarda bu tür değişiklikler potansiyel güvenlik tehdidi olarak algılanabilir ve kurtarma anahtarı talebini tetikleyebilir.
Kurumsal Dağıtımda Ön Test Kritik Öneme Sahip
Firmware farklılıkları nedeniyle BT yöneticileri için en önemli sorulardan biri, Enable Secure Boot Certificate Updates politikasını tüm cihazlarda aynı anda etkinleştirmenin güvenli olup olmadığıdır.
Microsoft, bunu ön test yapılmadan kesinlikle önermiyor. Şirket, Windows 11’de Secure Boot 2023 güncellemelerinin bazı bilgisayarlarda sorunlara yol açabildiğini kabul etti. Bu durum, firmware uyumluluğu tarafında daha geniş bir risk olduğunu gösteriyor.
Uyarı: Secure Boot 2023 güncellemesini tüm cihazlara aynı anda zorla dağıtmak, bazı sistemlerde açılış sorunlarına veya çalışanların iş akışında kesintiye neden olabilir. Önce sınırlı cihaz grubunda test yapılması gerekir.
Microsoft’un milyonlarca farklı anakart ve UEFI firmware kombinasyonunu fiziksel olarak test etmesi mümkün değil. Bu nedenle şirket, BT yöneticilerinin önce kurumda kullanılan belirli donanım modellerinde güncellemeyi test etmesini, ardından politikayı geniş ölçekte etkinleştirmesini öneriyor.
PXE ve Boot Manager Planlaması Kurumsal Ortamlar İçin Önemli
Binlerce cihazın Microsoft Endpoint Configuration Manager veya SCCM üzerinden yönetildiği kurumsal yapılarda, PXE (Preboot Execution Environment / Ağ Üzerinden Önyükleme Ortamı) senaryoları kritik rol oynuyor.
Bir sistem yöneticisi, Secure Boot 2011 sertifikasının iptal edilmesinden sonra PXE önyüklemenin çalışmadığını, çünkü boot.wim dosyasının yeni 2023 sertifikasını içermediğini bildirdi. Bunun üzerine Microsoft’a, boot.wim dosyasının 2023 sertifikasını otomatik alıp almayacağı ve 2011 ile 2023 sertifikalarının aynı boot.wim içinde birlikte bulunup bulunamayacağı soruldu.
Scott Shell, sorunun PXE protokolünün temel sınırlamasından kaynaklandığını açıkladı. PXE, istemci cihaza yalnızca tek bir Boot Manager sağlayabilir. Bu nedenle aynı boot.wim içinde birden fazla Boot Manager kullanmak işe yaramaz.
Microsoft, standart boot.wim dosyasını henüz 2023 sertifikalarına güncellemiyor. Çünkü erken geçiş, firmware tarafında yeni sertifikaları henüz almamış çok sayıda bilgisayarda ağ üzerinden önyüklemeyi bozabilir.
Ancak şirketin tüm cihaz parkı 2023 sertifikalarına tamamen geçirildikten sonra yöneticiler DISM araçlarını kullanarak boot.wim dosyasını manuel biçimde bağlayabilir ve Boot Manager’ı Microsoft’un resmi takviminden önce değiştirebilir.
SVN, DBX ve Geri Alma Koruması
AMA’da sorulan teknik konulardan biri de firmware tarafındaki SVN (Security Version Number / Güvenlik Sürüm Numarası) güncellemesiydi. Microsoft’a, bu mekanizmanın temelde yeni SVN değerlerini DBX içine eklemek anlamına gelip gelmediği ve test senaryolarında DBX temizlenerek geri alma korumasının devre dışı bırakılıp bırakılamayacağı soruldu.
Şirket bunun doğru olduğunu doğruladı. SVN mekanizması, sistemin daha eski ve savunmasız Boot Manager sürümlerine geri döndürülmesini engellemek için tasarlandı. BlackLotus gibi saldırılar tam olarak bu tür geri alma yöntemlerini kullanabiliyor.
Secure Boot 2023 sertifikalarıyla imzalanan yeni Boot Manager sürümleri, SVN mekanizması üzerinden iptal durumunu kendileri kontrol eder. Tam koruma için 2011 sertifikasının DBX üzerinden kaldırılması veya iptal edilmesi gerekir.
Test senaryolarında DBX’in temizlenmesi geri alma korumasını gerçekten devre dışı bırakır. Bu da eski Boot Manager sürümlerinin yeniden çalıştırılmasına izin verir.
Microsoft ayrıca özel Secure Boot değişiklikleriyle ilgili soruları da yanıtladı. Shell, şirketin dijital imzalardaki Microsoft’a özgü Owner GUID kontrolünü yumuşattığını doğruladı. Bu değişiklik, yoğun şekilde özelleştirilmiş kurumsal sistemlerde BitLocker sorunlarını önlemek için gerekliydi.
Secure Boot Sertifikalarının Güncel Olduğu Nasıl Kontrol Edilir?
Hangi cihazların güncellemeyi aldığı, hangilerinin almadığı konusu Secure Boot 2023 geçişindeki en zor takip başlıklarından biri hâline geldi.
Microsoft, Windows 11’in Nisan güncellemesiyle birlikte yeni sertifikaların durumunu doğrudan sistem arayüzünden kontrol etme imkânı ekledi.
Bunun için Windows Güvenliği uygulamasını açın, Cihaz güvenliği bölümüne gidin ve Secure Boot alanına kadar sayfayı aşağı kaydırın.
Burada yeşil onay işareti görünüyorsa sistem geçiş için hazırdır. Bu durumda Windows, Secure Boot’un açık olduğunu ve gerekli sertifikaların yüklendiğini gösterir. Yani cihaz Haziran 2026’da eski sertifikaların sona ermesine karşı uyumlu durumdadır.
Eğer Windows Güvenliği uygulamasında sarı veya kırmızı uyarı görünüyorsa, kullanıcıların arayüzde gösterilen talimatları dikkatlice uygulaması gerekir.
Bilgi: Bireysel kullanıcılar Secure Boot durumunu Windows Güvenliği uygulamasından kontrol edebilir. Kurumsal ortamlarda ise merkezi raporlama için PowerShell scriptleri, Event Viewer ve yönetim araçları tercih edilmelidir.
Kurumsal müşteriler için tüm cihaz parkına ait merkezi bilgi gerekir. Intune veya AutoPatch kullanmayan şirketlerde BT ekiplerinin sistemleri envantere alması ve uyumluluk raporu oluşturması için alternatif araçlara ihtiyacı olabilir.
Microsoft bu amaçla BT yöneticilerine özel PowerShell scripts (PowerShell betikleri) sağlar. Ayrıca Windows, güncelleme süreciyle ilgili ayrıntılı bilgileri Event Viewer (Olay Görüntüleyicisi) içinde TPM WMI olay kaynağı üzerinden kaydeder.
Bu veriler standart izleme sistemleriyle toplanabilir ve örneğin Power BI üzerinde özel analiz panelleri oluşturmak için kullanılabilir.
Intune, Event ID 1801 ve Confidence Bucket Durumu
Intune kullanan bir yönetici, remediation paketi dağıtıldıktan sonra sistemde Event ID 1801 oluştuğunu bildirdi. Bu olay, sertifikaların mevcut olduğunu ancak henüz uygulanmadığını gösteriyordu. Ayrıca BucketConfidenceLevel değeri “Need more data” olarak görünüyordu.
Microsoft’a göre bu durum, sistemin sertifikaları indirdiği ancak ilgili donanım modeli için telemetri temelli güven seviyesinin otomatik kurulum eşiğine henüz ulaşmadığı anlamına geliyor.
Eğer bu durum kurumsal cihazların büyük bölümünde görülüyorsa yöneticilerin en az bir bilgisayarda manuel test yapması öneriliyor. Manuel kurulum başarılı olursa confidence bucket mekanizması kayıt defteri ayarlarıyla aşılabilir ve güncelleme zorunlu olarak dağıtılabilir.
Event ID 1801 bazı durumlarda sistemin yalnızca BitLocker anahtarlarını yeniden bağlamak için yeniden başlatma beklediği anlamına da gelebilir.
Microsoft’un Dağıtım Stratejisi Nasıl İşliyor?
Kullanıcılar, yeni sertifikaların ne kadar sürede yükleneceğini de sordu. Özellikle sürecin Latest Cumulative Update (LCU) ile otomatik güven seviyesi üzerinden ilerlemesi ile Controlled Feature Rollout (CFR) ayarlarının zorla etkinleştirilmesi arasındaki fark merak edildi.
Microsoft, donanımları kademeli olarak test etmek için CFR mekanizmasını kullanıyor. Belirli bir anakart modeli sorunsuz çalıştığını kanıtladığında “yüksek güven seviyesine sahip cihaz” kategorisine alınır ve güncelleme LCU üzerinden daha geniş şekilde dağıtılır.
Yalnızca LCU’ya güvenilirse sertifika güncelleme süreci daha yavaş ilerleyebilir. Ancak Microsoft, telemetri verileri biriktikçe hızın kademeli olarak artacağını belirtiyor.
Windows güncelleme notlarında yüksek güven seviyesine sahip cihazların belirlenmesi için ek verilerin kullanıldığı da belirtiliyor. Bu mekanizma global Windows tanılama telemetrisine dayanır.
Microsoft, telemetri göndermenin güncellemeyi almak için zorunlu olmadığını özellikle vurguluyor. Sistem, benzer donanıma sahip diğer cihazlardan toplanan verileri kullanabilir.
Ancak nadir veya yoğun biçimde özelleştirilmiş bir PC yapılandırması söz konusuysa, tanılama verilerinin açık olması Microsoft’a güncellemenin başarılı olduğunu ve sorun oluşturmadığını bildirmek için tek yol olabilir. Böylece cihaz, daha geniş dağıtım için güvenli kabul edilebilir.
Windows Server ve Hyper-V İçin Manuel İşlemler Gerekiyor
İstemci bilgisayarlardan farklı olarak sunucu sistemleri genellikle izole ortamlarda çalışır ve sürekli internet bağlantısı ya da yoğun telemetri akışı sağlamaz.
Sanallaştırılmış altyapılarda da ek karmaşıklıklar ortaya çıkıyor. Bazı yöneticiler, Mart 2026 güncellemeleri yüklü Hyper-V sistemlerinde farklı Secure Boot durumları gördüklerini bildirdi. Örneğin bazı Windows Server 2019 sanal makineleri capable=0 gösterirken, aynı güncelleme seviyesindeki diğer sistemler capable=2 gösterebiliyordu.
Arden White, sorunun eski bir kayıt defteri anahtarıyla ilişkili olduğunu açıkladı. Microsoft daha önce, uzun süre yeniden başlatılmadan çalışan sanal makinelerde Key Exchange Key (KEK) güncellemesini etkileyen bir Hyper-V hatası tespit etmişti.
Bu sorunu çözmek için iki aşamalı bir düzeltme yayınlandı. Öncelikle Mart güncellemelerinin Hyper-V Host üzerine yüklenmesi gerekiyor. Bu, KEK güncelleme desteğini etkinleştiriyor.
İkinci olarak güncellemelerin misafir sanal makine içinde de yüklü olması gerekiyor. Böylece sistem, güncellemenin uygulanması için gerekli olan Hyper-V PK ile imzalanmış KEK’i alabiliyor.
Sanallaştırılmış ortamın yalnızca bir tarafı, yani sadece host veya sadece guest sistem güncellenirse Secure Boot güncelleme süreci takılabilir ve tamamlanmayabilir.
Uyarı: Hyper-V ortamlarında yalnızca host’u veya yalnızca sanal makineyi güncellemek yeterli olmayabilir. Secure Boot 2023 geçişinin tamamlanması için iki tarafın da uygun güncelleme seviyesinde olması gerekir.
Daha yeni sunucu işletim sistemlerinde de durum ayrıca dikkat gerektiriyor. Windows Server 2025, temiz kurulumda veya Server 2022’den yükseltmede otomatik olarak Secure Boot 2023 uyumluluğu almıyor.
Windows Server 2025, Windows Server 2022 ile aynı uyumluluk tabanını kullanıyor. Ancak sunucu sürümleri, Windows 11 tüketici bilgisayarlarında kullanılan otomatik Controlled Feature Rollout programına dahil değil.
Sunucu sistemleri kritik altyapı kabul edildiği için Microsoft, yöneticilerin sertifika güncellemelerini özel PowerShell commands (PowerShell komutları) kullanarak manuel şekilde uygulamasını istiyor.
Güncelleme Görmezden Gelinirse Güvenlik Seviyesi Kalıcı Olarak Düşer
Sürecin karmaşıklığı nedeniyle birçok kullanıcı, güncellemeyi tamamen yok sayarsa cihazının çalışmaya devam edip etmeyeceğini merak ediyor.
Microsoft’a göre bilgisayar bir anda kullanılamaz hâle gelmeyecek. Ancak sistem kalıcı güvenlik zayıflaması durumuna geçecek.
Cihazda 2023 tarihli DB sertifikası yoksa PC, Windows Boot Manager’ın yeni sürümlerini fiziksel olarak başlatamayacak. Bunun sonucunda Microsoft, önyükleme zincirinin kritik bileşenleri için güvenlik güncellemeleri sağlamayı durduracak.
Ayrıca sistem yeni DBX iptal listelerini alamayacak. Bu da cihazı gelecekteki bootkit türlerine ve Windows açılış sürecini hedef alan zararlı yazılımlara karşı sürekli savunmasız bırakacak.
Uyarı: Güncelleme yapılmazsa bilgisayar hemen bozulmaz; ancak zaman içinde yeni bootloader güvenlik güncellemeleri, DBX iptal listeleri ve bazı gelecek Windows sürüm yükseltmeleri engellenebilir.
Güncelleme eksikliği gelecekteki Windows özellik güncellemelerini de etkileyebilir. Microsoft, zamanla yeni işletim sistemi sürümlerini yüklemek için EFI partition (EFI bölümü) üzerinde Secure Boot 2023 sertifikasıyla imzalanmış yapı gerekeceğini doğruladı.
Yaklaşan Windows 11 26H2 güncellemesi hâlâ normal şekilde kurulabilecek. Ancak ilerleyen dönemde cihaz yeni sertifikaları almazsa Windows kurulumu, sistemi çalışmaz hâle getirmemek için yükseltme işlemini bilinçli olarak durduracak.
Windows 11’in artık Secure Boot sertifika durumu hakkında uyarılar göstermesinin nedeni de bu. Sistem, kullanıcıları gelecekte yeni Windows sürümlerinin kurulmasını engelleyebilecek potansiyel sorunlara karşı önceden bilgilendiriyor.
Microsoft Neden Geçişin Son Tarihten Önce Tamamlanmasını İstiyor?
Microsoft, sistemin Haziran 2026 son tarihinden önce Secure Boot 2023 sertifikalarına güvenerek açılmaya başlamasının kritik olduğunu vurguluyor.
Şirketin açıklamasına göre Windows 11’in giderek daha fazla cihazda Secure Boot Allowed Key Exchange Key (KEK) güncellemesi almasının temel nedeni bu.
2011 sertifikalarının süresi dolduktan sonra Microsoft artık eski KEK ile yeni güncellemeleri kriptografik olarak imzalayamayacak. Eğer sistem o tarihe kadar 2023 sertifikalı önyükleme zincirine geçmezse cihaz, önyükleme zinciri güvenlik güncellemelerini alma yeteneğini kalıcı olarak kaybedebilir.
Secure Boot 2023 Sertifikaları Ne Kadar Süre Geçerli Olacak?
AMA’nın sonunda kullanıcılardan biri, Secure Boot 2023 sertifikalarının ne kadar süre geçerli olacağını ve gelecekte benzer bir sürecin yeniden yaşanıp yaşanmayacağını sordu.
Yeni Secure Boot 2023 anahtarlarını veren kök sertifika 2038 yılına kadar geçerli olacak. Bu da sertifikalara yaklaşık on yıldan biraz fazla bir yaşam döngüsü sağlıyor.
Ancak Scott Shell’e göre sektörün önünde başka büyük bir geçiş daha var: post-quantum cryptography (kuantum sonrası kriptografi). Bu geçişin 2030’a doğru başlaması bekleniyor.
Bugün 2023 sertifikalarını alan mevcut donanımlar, bu sertifikaları kullanım ömürlerinin sonuna kadar kullanabilecek. Ancak 2030’larda piyasaya çıkacak yeni donanımların, kuantum sonrası kriptografiye dayalı tamamen yeni sertifikalarla gelmesi bekleniyor.
Sonuç: Haziran 2026 Öncesi Kontrol Etmek Önemli
Haziran 2026 yaklaşırken Microsoft, kullanıcıların ve kurumların cihazlarında Secure Boot 2023 sertifikalarının uygulanıp uygulanmadığını kontrol etmesini öneriyor.
Bu geçiş, bilgisayarların günlük kullanımını doğrudan kesintiye uğratmayabilir. Ancak uzun vadede Windows güvenlik güncellemeleri, önyükleme zinciri koruması, DBX iptal listeleri ve gelecek sürüm yükseltmeleri açısından kritik bir eşik oluşturuyor.
Özellikle kurumsal sistemlerde en güvenli yaklaşım, cihazları model bazında test etmek, BitLocker ve Hyper-V gibi kritik bileşenleri doğrulamak ve ardından Secure Boot 2023 geçişini kontrollü biçimde yaygınlaştırmak olacaktır.
İlgili Yazılar
Microsoft Intelligent Terminal Nedir ve Neler Sunuyor?
Windows 11 Başlat Menüsü İçin Yeni Özelleştirme Seçenekleri
FluentTweaker: Windows 11’i Registry Düzenlemeden Özelleştirin
Windows 11 HDR Açma: Adım Adım Kurulum Rehberi
Microsoft Defender Yeterli mi? Bağımsız Testler Ne Diyor?
