Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
Secure Boot sertifikası güncelleme, 2026’ya yaklaşırken Windows 11 kullanıcılarının göz ardı etmemesi gereken kritik bir güvenlik konusu hâline geldi. Secure Boot sertifikaları Haziran 2026’da sona eriyor ve bu güncelleme yapılmadığında, özellikle eski donanımlarda açılış sorunları veya güvenlik doğrulama hatalarıyla karşılaşmak mümkün. Bu rehberde, sisteminizi nasıl kontrol edeceğinizi, Secure Boot sertifikalarının güncel olup olmadığını nasıl anlayacağınızı ve risk almadan nasıl güncel tutacağınızı net şekilde bulabilirsiniz.
Kendi test ettiğim ve sahada karşılaştığım birçok Windows 11 sisteminde, Secure Boot sertifikasının hâlâ 2011 tarihli CA’lere dayandığını gördüm. Bilgisayarınızdaki Secure Boot (Güvenli Önyükleme) modülüne ait sertifikanın geçerlilik süresi Haziran 2026’da doluyor. Microsoft ise bu riski erkenden yönetebilmek için, Ocak 2026 Güvenlik Güncellemesi itibarıyla, bilgisayarların sorunsuz şekilde açılmaya devam etmesini ve güvenlik güncellemelerini almaya devam edebilmesini sağlayacak yeni Secure Boot sertifikalarını kademeli olarak dağıtmaya başladı.
Bu noktada kritik detay şu: Güncelleme çoğu sistemde otomatik geliyor olsa da, her cihaz aynı anda bu sertifikaları almıyor. Bu nedenle Secure Boot sertifikası güncelleme durumunu kontrol etmek, ileride yaşanabilecek sorunları bugünden önlemek açısından önemli bir avantaj sağlıyor.
Secure Boot Nedir ve Neden Önemlidir?
Windows 11’de Secure Boot, UEFI (Unified Extensible Firmware Interface) bellenimi içinde yer alan önemli bir güvenlik özelliğidir. Bu özellik, sistem başlatılırken kritik sistem dosyalarında yetkisiz değişiklikler yapılmasını engeller.
Basitçe ifade etmek gerekirse; Secure Boot, cihazın yalnızca üretici tarafından güvenilir olarak imzalanmış yazılımlarla açılmasını sağlar. Bu sayede, işletim sistemi ve antivirüs yazılımı henüz yüklenmeden önce devreye girebilen bootkit ve rootkit gibi düşük seviyeli zararlı yazılımlara karşı etkili bir koruma sunar.
Secure Boot Sertifikaları Nasıl Çalışır?
Secure Boot sürecinde, sistem bileşenlerinin güvenilir bir kaynaktan geldiğini doğrulamak için kriptografik anahtarlar, yani Sertifika Yetkilileri (Certificate Authorities – CA) kullanılır. Bu mekanizma, cihaz açılışının en erken aşamalarında zararlı kodların çalışmasını önlemeyi amaçlar.
Secure Boot sertifikalarının son kullanma tarihine sahip olması bilinçli bir güvenlik tasarımıdır. Bu sertifikalar, bilgisayarın güvenli şekilde açılmaya devam etmesini ve güvenlik güncellemelerini alabilmesini sağlar. Bu nedenle, 2011 tarihli CA’ler Haziran 2026’da süresi dolmadan önce, 2023 sertifikalarının sisteme yüklenmiş olması gerekir.
Hangi Cihazlar Etkileniyor?
- 2024 ve sonrasında satın alınan cihazlarda, büyük ihtimalle en güncel Secure Boot sertifikaları zaten yüklü durumda.
- Daha eski cihazlar için ise Microsoft, yeni Secure Boot sertifikalarını Windows Update üzerinden kademeli olarak dağıtmaya başladı.
Microsoft’un 13 Ocak 2026 tarihinde yayımladığı “2026-01 Security Update (KB5074109) (Build 26200.7623)” güncelleme notlarına göre:
Güncellemeler artık, yeni Secure Boot sertifikalarını otomatik olarak alabilecek cihazları belirlemek için yüksek güven düzeyine sahip hedefleme verilerinin bir alt kümesini içeriyor. Cihazlar, yeterli sayıda başarılı güncelleme sinyali gösterdikten sonra yeni sertifikaları alacak. Bu yaklaşım, güvenli ve kontrollü bir kademeli dağıtım süreci sağlıyor.
Kullanıcıların Yapması Gereken Bir Şey Var mı?
Bu aşamada manuel bir işlem yapmanız gerekmiyor. Secure Boot sertifikaları, uygun görülen cihazlara otomatik olarak dağıtılıyor.
Yapmanız gereken tek şey:
- Windows Update’i açık tutmak
- Güvenlik güncellemelerini düzenli olarak yüklemek
En azından Haziran 2026 Güvenlik Güncellemesi yayımlanana kadar, sistemin güncel kalması Secure Boot açısından yeterli olacak.
Secure Boot Sertifikasının Son Kullanma Tarihini Kontrol Etme
Bilgisayarınıza en güncel Secure Boot sertifika yetkililerinin (CA) yüklendiğine dair herhangi bir bildirim almayacağınız için, cihazınızın hâlâ bir güncellemeye ihtiyaç duyup duymadığını manuel olarak kontrol etmeniz önemlidir.
Windows 11, bellenim (firmware) sertifikalarının insan tarafından okunabilir son kullanma tarihini doğrudan gösteren yerleşik bir komut sunmaz. Ancak aşağıdaki adımları kullanarak, 2026’da süresi dolacak sertifikaların yerine geçen “2023 Secure Boot sertifikalarının” sisteminizde yüklü olup olmadığını kontrol edebilirsiniz.
Kontrol Adımları
PowerShell’i yönetici (Administrator) olarak açın.
Aşağıdaki komutu çalıştırın:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Sonuçların Anlamı
- True
→ Sisteminizde yeni Secure Boot sertifikası yüklüdür.
→ Sertifika geçerlilik süresi: 2053 yılına kadar. - False
→ Büyük ihtimalle hâlâ 2011 tarihli Secure Boot sertifikasını kullanıyorsunuz.
→ Bu sertifikanın süresi Haziran 2026’da dolacaktır.
Neden Önemli : Bu kontrol, özellikle eski donanıma sahip Windows 11 sistemlerinde, Secure Boot’un gelecekte açılış veya güvenlik sorunlarına yol açıp açmayacağını önceden tespit etmek için kritik öneme sahiptir. Sertifika güncellemesi Microsoft tarafından kademeli olarak otomatik dağıtılıyor olsa da, sisteminizin durumunu bilmek risk yönetimi açısından önemli bir avantaj sağlar.
Günümüzde kullanılan Secure Boot zincirlerinin neredeyse tamamı, Microsoft’un 2011 tarihli sertifikalarına dayanıyor. Ancak bu sertifikaların tamamı 2026 yılı içinde geçerliliğini yitirecek.
İlgili sertifikalar ve son kullanma tarihleri şu şekildedir:
- Microsoft Corporation KEK CA 2011 – 24 Haziran 2026
- Microsoft Corporation UEFI CA 2011 – 27 Haziran 2026
- Microsoft Option ROM UEFI CA 2011 – 27 Haziran 2026
- Microsoft Windows Production PCA 2011 – 19 Ekim 2026
Bu Sertifikalar Ne İşe Yarar?
Referans olması açısından, Secure Boot sürecinde her bir sertifikanın rolü aşağıda özetlenmiştir:
- KEK Sertifikası (Key Exchange Key)
Secure Boot imza veritabanlarının (DB / DBX) güncellenmesine izin veren temel güven köküdür. - UEFI CA Sertifikaları
Önyükleyicilerin (bootloader) ve bellenim bileşenlerinin imzalarını doğrular. Buna üçüncü taraf EFI uygulamaları da dahildir. - Option ROM CA
Ağ kartı veya ekran kartı gibi donanımlara ait firmware option ROM modüllerine güvenilmesini sağlar. - Microsoft Windows Production PCA 2011
Secure Boot altında, Windows önyükleyicisinin ve ilgili sistem bileşenlerinin firmware tarafından güvenilir kabul edilmesini sağlar.
Bu sertifikaların süresinin dolması, gerekli güncellemeler alınmazsa Secure Boot’un Windows’un açılış sürecini engellemesine veya güvenlik doğrulamalarının başarısız olmasına neden olabilir.
Windows 11’de Secure Boot Sertifikalarını Güncelleme
Sertifikalarınızın süresi dolmaya yaklaştığında, Microsoft ve bilgisayar üreticiniz (OEM), yeni 2023 CA sertifikalarını sisteme eklemek için Windows Update veya sistem güncellemeleri üzerinden otomatik firmware ya da “DBX” güncellemeleri dağıtır. Ancak isterseniz Secure Boot sertifikalarını manuel olarak da güncelleyebilirsiniz.
Önemli Uyarı
İşleme başlamadan önce mutlaka aşağıdakileri kontrol edin:
- BitLocker kullanıyorsanız kurtarma anahtarınızı güvenli bir yere kaydedin.
- BIOS (UEFI) sürümünüzün güncel olduğundan emin olun.
- Sisteminizin yeni sertifikaları desteklememesi durumunda, güncelleme sonrası bilgisayar açılmayabilir.
- Olası risklere karşı, işleme başlamadan önce tam sistem yedeği oluşturmanız önerilir.
Secure Boot Sertifikalarını Manuel Olarak Güncelleme
PowerShell’i yönetici (Administrator) olarak açın ve aşağıdaki komutu çalıştırın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Bu komut, işletim sistemine gerekli tüm Secure Boot sertifikalarını (PCA 2023 ile imzalanmış boot manager dâhil) dağıtması talimatını veren bir kayıt defteri anahtarı oluşturur.
Burada kullanılan 0x5944 değeri, tüm ilgili sertifika güncellemelerini etkinleştiren “tam azaltım (full mitigation)” kodudur.
Secure Boot Güncelleme Görevini Manuel Olarak Tetikleme
Windows 11, sertifika değişikliklerini işleyen yerleşik bir zamanlanmış göreve sahiptir. Normalde bu işlem 12 saate kadar sürebilir. Beklemek istemiyorsanız aşağıdaki komutla görevi manuel olarak başlatabilirsiniz:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Yeniden Başlatma Süreci
Güncellemenin tam olarak uygulanabilmesi için genellikle iki kez yeniden başlatma gerekir:
- İlk yeniden başlatma: Sistem önyükleyicisi (boot manager) güncellenir.
- İkinci yeniden başlatma: Sertifikalar UEFI veritabanına kalıcı olarak kaydedilir.
Güncellemenin Başarılı Olduğunu Doğrulama
Yeniden başlatmalar tamamlandıktan sonra, sisteminizde “UEFI CA 2023” sertifikasının yüklü olup olmadığını doğrulamak için PowerShell’i (yönetici olarak) açın ve aşağıdaki komutu çalıştırın:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
- True
→ Sisteminiz artık yeni Secure Boot sertifikalarıyla güvence altına alınmıştır. - False
→ Birden fazla yeniden başlatmadan sonra hâlâ “False” sonucu alıyorsanız, anakart firmware’i yeni sertifika formatını desteklemiyor olabilir.
→ Üreticinizin web sitesinde Secure Boot ile ilgili bir BIOS/UEFI güncellemesi olup olmadığını kontrol edin.
BitLocker Notu
BitLocker etkinse, firmware’in yeni anahtarları cihaza yazabilmesi için şifrelemeyi geçici olarak askıya almanız gerekebilir. Bunun için aşağıdaki komut kullanılabilir:
Suspend-BitLocker -MountPoint "C:" -RebootCount 2
