Secure Boot ‑sertifikaatit vanhenevat 2026 – miksi tähän kannattaa tarttua jo nyt?

Pilvi-infrastruktuuri

Avainsanat:

Secure Boot on yksi niistä tietoturvaominaisuuksista, jotka tekevät työtään hiljaisesti taustalla. Kun kaikki toimii, sitä ei juuri tule ajatelleeksi eikä kuulukaan. Nyt tämä pitkään itsestäänselvyytenä pidetty mekanismi on kuitenkin ajankohtainen, sillä Windows-laitteiden Secure Boot ‑sertifikaatit alkavat vanhentua kesäkuussa 2026.

Kyse ei ole paniikkitilanteesta eikä äkillisestä tietoturvaongelmasta. Kyse on ennalta tiedossa olleesta sertifikaattien elinkaaren päättymisestä, johon organisaatioiden on hyvä varautua ja reagoida ajoissa.

Mistä Secure Bootissa on oikeastaan kyse?

Lyhyesti sanottuna Secure Boot varmistaa, että Windows-laite käynnistyy vain luotettavasta ja allekirjoitetusta koodista. Se tarkistaa jo hyvin varhaisessa vaiheessa, ennen kuin käyttöjärjestelmä edes lähtee käyntiin, että laiteohjelmisto (firmware), käynnistyslataaja (bootloader) ja muut kriittiset osat ovat peräisin oikeasta lähteestä.

Tämä tehdään sertifikaattien avulla. Ne muodostavat luottamusketjun, joka estää esimerkiksi bootkit- ja rootkit-haittaohjelmia asentumasta ennen Windowsin ja tietoturvaratkaisujen käynnistymistä.

Ja kuten kaikki sertifikaatit, myös Secure Boot ‑sertifikaatit vanhenevat aikanaan.

Mikä muuttuu kesällä 2026?

Microsoftin vuonna 2011 käyttöönottamat Secure Boot ‑sertifikaatit alkavat vanhentua kesäkuussa 2026. Tilalle on jo julkaistu uudet, vuonna 2023 luodut sertifikaatit, jotka on tarkoitus ottaa käyttöön ennen vanhojen voimassaolon päättymistä.

Jos laitteeseen ei ole asennettu uusia sertifikaatteja ajoissa, se ei lakkaa toimimasta. Windows käynnistyy edelleen ja normaaleja päivityksiä voi asentaa. Mutta taustalla tapahtuu jotain olennaista: laite ei enää pysty vastaanottamaan uusia Secure Bootiin liittyviä suojauspäivityksiä.

Toisin sanoen käynnistystason tietoturva jää paikalleen samalla kun uhkakenttä kehittyy eteenpäin.

Monella laitteella asia on jo kunnossa

Hyvä uutinen on se, että monet vuodesta 2024 alkaen valmistetut Windows-laitteet sisältävät jo valmiiksi uudet vuoden 2023 Secure Boot ‑sertifikaatit. Näissä tapauksissa mitään erityistoimia ei todennäköisesti tarvita.

Vanhemmille laitteille Microsoft yrittää toimittaa uudet sertifikaatit pääosin Windowsin kuukausittaisten päivitysten kautta. Monet laitevalmistajat Microsoftin kanssa yhteistyössä julkaisevat BIOS- ja UEFI-päivityksiä, joilla varmistetaan, että uudet sertifikaatit toimivat oikein laitteistotasolla.

Miksi yritysympäristössä ennakointi on tärkeää?

Yritysympäristöissä laitekanta ei ole koskaan täysin yhdenmukainen. On eri-ikäisiä laitteita ja erikoisempia käyttöjärjestelmäversioita, jotka eivät aina osu automaattisten päivitysten piiriin.

Tämän vuoksi Secure Boot ‑sertifikaattien vanheneminen tuo hyvän hetken varmistaa, että oma ympäristö on valmiina tulevaan. Käytännössä tämä tarkoittaa laitekannan kokonaiskuvan muodostamista, päivitysten etenemisen seuraamista ja tarvittaessa hallittua sertifikaattien jakelua laitteille.

Ei kiire, mutta nyt on hyvä hetki toimia

Secure Boot ‑sertifikaattien vanheneminen kesäkuussa 2026 ei ole kriisi, mutta se on selkeä määräaika. Organisaatiot, jotka ottavat asian huomioon jo nyt, välttävät viime hetken kiireen ja varmistavat, että laitteiden käynnistysturvallisuus pysyy ajan tasalla myös tulevina vuosina.

Nyt on erinomainen hetki tarkistaa tilanne, tehdä tarvittavat valmistelut ja antaa Secure Bootin jatkaa työtään huomaamattomasti, mutta turvallisesti.

Secure Boot ‑sertifikaattien päivitykseen on tarjolla useita tuettuja vaihtoehtoja. Suositeltu tapa on Microsoft Intune, joka mahdollistaa sertifikaattien hallitun käyttöönoton ja seurannan keskitetysti. Vaihtoehtoisesti sertifikaatit voidaan ottaa käyttöön rekisteriavaimilla skriptien avulla, Windows Configuration Systemin (WinCS) kautta komentoriviltä tai PowerShellillä, tai perinteisissä ympäristöissä ryhmäkäytännöillä (Group Policy). Sopiva lähestymistapa riippuu pitkälti ympäristön hallintamallista ja laitekannan rakenteesta.

Jos tarvitsette apua Secure Boot ‑sertifikaattien päivitysten suunnittelussa, kokonaiskuvan muodostamisessa tai käytännön toteutuksessa, autamme mielellämme ja keskustelemme kanssanne sopivasta etenemistavasta.

Tutustu laitehallinnan palveluihimme

Kirjoittaja:

Jessie Söderlund

Jessie Arce Arista

Consulting & Training

Jessie on erikoistunut Sulavalla päätelaitehallintaan, sovelluspaketointiin, identiteetinhallintaan ja laitteiden tietoturvaratkaisuihin käyttäen modernia laitehallintaa.