Al bijna 15 jaar is Secure Boot één van de belangrijkste, maar tegelijk ook meest onzichtbare, beveiligingslagen op Windows-apparaten. Het werd geïntroduceerd samen met Windows 8 en is sindsdien een stille bewaker tijdens het opstarten van je systeem.

Het doel is simpel, maar cruciaal. Secure Boot voorkomt dat Rootkits, Bootkits en andere Pre-OS-malware al actief worden vóórdat Windows überhaupt geladen is. Dat doet het door alleen vertrouwde, digitaal ondertekende componenten toe te laten in het bootproces.

Secure Boot maakt hierbij gebruik van UEFI-firmware en een keten van cryptografische certificaten. Elk onderdeel in de vroege opstartfase wordt gecontroleerd aan de hand van vertrouwde Certificate Authorities (CA’s). Deze certificaatautoriteiten, oorspronkelijk uitgegeven rond 2011, zitten inmiddels al meer dan tien jaar ingebakken in Windows-apparaten.

En nu komen we bij een belangrijk kantelpunt: deze langlopende certificaten beginnen te verlopen in juni 2026.

Met Henri Hogers, Modern Workplace Consultant bij Innvolve.

Waarom certificaten verlopen en wat dat betekent

Microsofts oorspronkelijke Secure Boot-CA’s uit 2011 verlopen tussen juni en oktober 2026. De meest urgente deadlines vallen in juni 2026, omdat dan meerdere fundamentele certificaten hun einde bereiken. Dit zijn certificaten die gebruikt worden om bootloaders te valideren, signature databases te updaten en software van derden vóór het opstarten te autoriseren.

Wanneer deze certificaten verlopen, kan dat impact hebben op de hele Secure Boot-trust chain:

  • Nieuwe bootloaders of Pre-boot componenten worden mogelijk niet vertrouwd.

  • Firmware kan Secure Boot-updates en DBX-revocations weigeren.

  • BitLocker-herstelprompts kunnen verschijnen.

  • Anti-cheat problemen kunnen ontstaan.

  • Systeem kan niet correct opstarten.

  • Pre-boot beveiligingsupdates kunnen uitblijven, waardoor vroege opstartbescherming verzwakt.

Kort gezegd: als er geen bijgewerkte certificaten worden geïnstalleerd, kan de Secure Boot-vertrouwensketen breken. En dat kan betekenen dat een machine na medio 2026 niet meer normaal opstart.

Wat Microsoft doet om problemen te voorkomen

Microsoft heeft inmiddels een nieuwe familie Secure Boot-certificaten uitgebracht, namelijk de 2023 Secure Boot certificates. Deze verlengen de trust chain tot 2053. De uitrol gebeurt via Windows Update en start vanaf de beveiligingsupdate van januari 2026.

Apparaten die in 2024 of later zijn aangeschaft, hebben deze certificaten meestal al standaard meegekregen. Oudere systemen, waaronder Windows 10, Windows 11, Windows Server-edities en veel virtuele machines, moeten deze updates vóór juni 2026 ontvangen om problemen te voorkomen.

Deze apparaten dienen de volgende stappen te volgen:

  1. Zorg dat apparaten Windows-updates ontvangen

Microsoft geeft aan dat de veiligste en meest betrouwbare manier om nieuwe Secure Boot-certificaten te ontvangen is om Windows Update, of updates via WSUS of Intune, het uitrolproces te laten beheren.

Controleer daarom of automatische updates zijn ingeschakeld, of update-ringen en Compliance-policies geen firmware-gerelateerde updates blokkeren en of beveiligingsupdates niet worden uitgesteld tot na juni 2026.

Er zijn meerdere manieren om te zorgen dat automatische updates correct staan ingesteld voor deze firmware-gerelateerde certificaatupdates.

  • Voor cloud-beheerde apparaten: Microsoft Intune is de voorkeursmethode. Hiervoor maak je een configuratieprofiel via Settings catalog met de instellingen Enable SecureBoot Certificate Updates en Configure Microsoft Update Managed Opt In. De eerste instelling bepaalt of Windows het Secure Boot-certificaatuitrolproces start. De tweede instelling maakt deelname mogelijk aan een Controlled Feature Rollout van de Secure Boot-certificaatupdate, beheerd door Microsoft. Dit vereist dat diagnostische gegevens naar Microsoft worden verzonden.
  • Voor Domain Joined apparaten: Group Policy is de meest logische route. Gebruik hiervoor de instellingen Enable Secure Boot Certificate Deployment en Certificate Deployment via Controlled Feature Rollout. Ook hier bepaalt de eerste instelling of Windows het uitrolproces start, en maakt de tweede instelling deelname aan de Controlled Feature Rollout mogelijk.

Meer informatie over de beschikbare uitrolmethoden is te vinden in Microsofts Secure Boot playbook-blog.

  1. Controleer de Secure Boot-certificaatstatus

De snelste manier om overzicht te krijgen is het Secure Boot status report in Intune:

Secure Boot-statusrapport in Windows Autopatch

De afbeelding in deze blog komt uit Microsoft Learn en laat dit Secure Boot status report in Windows Autopatch zien.

Heb je Autopatch niet aan staan, dan is er gelukkig een alternatief. Met een PowerShell-detectiescript kun je alsnog inzicht krijgen in de Secure Boot-status van je apparaten. Het script controleert of het nieuwe Windows UEFI CA 2023-certificaat aanwezig is in de firmware-database van het apparaat. Daarnaast controleert het of het apparaat correct is geconfigureerd en technisch in staat is om het nieuwe Secure Boot-certificaat te ontvangen. Tot slot controleert het script de installatiestatus van het nieuwe Secure Boot-certificaat.

Als het script vaststelt dat de status Updated is, of dat het apparaat het nieuwe certificaat via Windows Update kan ontvangen, dan sluit het af met succescode 0. Is dat niet zo, dan sluit het script af met foutcode 1.

Het is aan te raden om dezelfde, met apparaten gevulde, securitygroepen te gebruiken voor zowel het instellen van het beleid als voor het toewijzen van het detectiescript. Dat houdt de aanpak overzichtelijk en consistent.

  1. Stem af met OEM-leveranciers

Secure Boot draait niet alleen om Windows, maar ook om firmware. Het gebruikt certificaten op zowel besturingssysteemniveau als firmware-niveau. Daarom is het net zo belangrijk om ervoor te zorgen dat je apparaten de laatste firmwareversies draaien.

Zowel het Autopatch-rapport als het detectiescript helpen je om te zien welke apparaten extra aandacht nodig hebben. Begin daarom nu al met afstemming richting OEM-leveranciers, zodat je zeker weet dat de juiste firmware tijdig beschikbaar is vóór de expiratieperiode.

  1. Test vóór 17 juni 2026

Wacht niet tot het laatste moment. Begin met testen in een beperkte groep apparaten. In grotere omgevingen is het verstandig om ervoor te zorgen dat alle modellen vertegenwoordigd zijn. Zo kun je bevestigen dat Secure Boot ingeschakeld blijft, bootloaders normaal blijven valideren, BitLocker geen onverwachte herstel-lussen veroorzaakt en dat de UEFI-firmware de bijgewerkte 2023 CA’s correct rapporteert.

Conclusie

Het verlopen van de Secure Boot-certificaten in 2026 is de eerste grote vernieuwingsronde sinds Secure Boot ooit werd geïntroduceerd. Hoewel Microsoft het updateproces grotendeels automatiseert, kan onvoldoende voorbereiding leiden tot grootschalige opstartproblemen of een verzwakte beveiliging na 17 juni 2026.

Door de certificaten nu al te updaten, zorg je voor een soepele overgang naar het volgende decennium van Secure Boot-bescherming. Zonder verrassingen wanneer de certificaten uit 2011 uiteindelijk verlopen.

 

Over de auteur

Henri Hogers is Modern Workplace Consultant bij Innvolve en helpt organisaties hun digitale werkplek te verbeteren met slimme inzet van Microsoft 365, samenwerking en adoptie.

 

Kunnen we je helpen?


Gerelateerd

Meer innformatie?

Wil je meer weten over Secure Boot: waarom 2026 een belangrijk jaar wordt, neem dan contact met ons op.