Microsoft waarschuwt: Windows-certificaten voor Secure Boot verlopen in juni

Microsoft waarschuwt Windows-gebruikers en -beheerders dat de beveiligingscertificaten voor het beveiligd opstarten van hun computers eind juni dit jaar verlopen. De certificaten voor Secure Boot staan opgeslagen in de firmware van pc's en die moet daarom een update krijgen.

Microsoft werkt samen met partnerbedrijven in het Windows-ecosysteem. De maker van Windows noemt het verversen van de certificaten voor Secure Boot 'een van de grootste gecoördineerde inspanningen voor beveiligingsonderhoud'. Deze operatie omvat onderhoud aan Windows, updates voor firmware en miljoenen unieke apparaatconfiguraties wereldwijd, legt Microsoft uit in een blogpost.

"Omdat Secure Boot werkt op het niveau van de firmware en invloed heeft op hoe een pc start, vereisen deze veranderingen zorgvuldige voorbereiding", schrijft het softwarebedrijf. Fouten bij het invoeren van nieuwe beveiligingscertificaten met een nieuwe vervaldatum kunnen voor verstoringen zorgen of de beveiliging van pc's en servers aantasten. Als een computer geen nieuw certificaat krijgt ter vervanging van de oorspronkelijke bootcertificaten uit 2011, werkt het systeem nog wel, maar ontbreekt bescherming tegen kwetsbaarheden op bootniveau.

Computermakers leveren al bijgewerkte certificaten op nieuwe systemen. Ze bieden deze ook voor veel pc's die sinds 2024 op de markt verschenen. Volgens Microsoft hebben bijna alle in 2025 geleverde computers al de nieuwe certificaten. Voor oudere computers zijn updates vereist, waar pc-fabrikanten als Dell, HP en Lenovo aan meewerken. Microsoft distribueert de firmware-updates dan via Windows Update.

Windows 10

Microsoft merkt nog op dat de nieuwe certificaten niet uitkomen voor oudere Windows-versies, die geen ondersteuning meer krijgen. Dit omvat ook Windows 10, behalve als gebruikers hun computers met die vorige versie hebben aangemeld voor Extended Security Updates. De ondersteuning voor Windows 10 liep op 14 oktober 2025 af, maar Europese gebruikers konden gratis een jaar uitstel krijgen.

Windows 11
Windows 11 (beeld: Microsoft)

Door Jasper Bakker

Nieuwsredacteur

Feedback • 10-02-2026 20:24 157

10-02-2026 • 20:24

157

Lees meer

Fortnite pakt cheating op toernooien aan met strengere pc-eisen
Fortnite pakt cheating op toernooien aan met strengere pc-eisen Nieuws van 11 februari 2026
Windows 11 26H1 is uit, maar is alleen bedoeld voor enkele toekomstige laptops
Windows 11 26H1 is uit, maar is alleen bedoeld voor enkele toekomstige laptops Nieuws van 11 februari 2026
Windows 11 stopt support oude printerdrivers, 'printer werkt mogelijk niet meer'
Windows 11 stopt support oude printerdrivers, 'printer werkt mogelijk niet meer' Nieuws van 8 februari 2026
Nvidia onderzoekt gpu-problemen in games na recente Windows 11-update
Nvidia onderzoekt gpu-problemen in games na recente Windows 11-update Nieuws van 6 februari 2026
Microsoft zet verouderd authenticatieprotocol NTLM stap voor stap uit in Windows
Microsoft zet verouderd authenticatieprotocol NTLM stap voor stap uit in Windows Nieuws van 30 januari 2026
Windows 11 bereikt mijlpaal van 1 miljard installaties sneller dan Windows 10
Windows 11 bereikt mijlpaal van 1 miljard installaties sneller dan Windows 10 Nieuws van 29 januari 2026
Microsoft werkt aan oplossing bootproblemen, maar herstelt defecte pc's nog niet
Microsoft werkt aan oplossing bootproblemen, maar herstelt defecte pc's nog niet Nieuws van 28 januari 2026
Microsoft onderzoekt bug waardoor Windows-pc's niet booten na update
Microsoft onderzoekt bug waardoor Windows-pc's niet booten na update Nieuws van 26 januari 2026
Microsoft dicht drie zerodays waarvan één actief werd misbruikt
Microsoft dicht drie zerodays waarvan één actief werd misbruikt Nieuws van 14 januari 2026
Meer producten en artikelen
Besturingssystemen Netwerk en systeembeheer Computerhulp Microsoft Windows Bootdrive Bootloader Certificaat secure boot Security Windows 11

Reacties (157)

-Moderatie-faq
157
156
58
9
0
91
Wijzig sortering

Sorteer op:

Weergave:
ledents 11 februari 2026 06:15
Ik vind nergens een echte goede uitleg wan wat een gebruiker echt moet gaan doen!

Wat een gedoe altijd, er is zoveel blabla erond te lezen maar up to de point wat je moet doen en wat je waar moet downloaden hoe je de update uitvoerder of zelfs controleer dat alles nog okay is vind ik niet vanzelfsprekend en ik werk al jaren in de IT.

Waarom moeten we door km van blabla en rond de pot draaien en uitleg van wat er moet gedaan worden zonder effectief uitgelegd hebben hoe je het echt voor mekaar brengt.
Heel spijtig dit gedoe. Eerst gebruikers van win10 pc’s dwingen om een nieuwe pc aan te schaffen omdat hun pc geen deftige secureboot aankan. En dan na enkele jaren werkt secureboot dan toch niet omdat alles toch niet automatisch wordt uitgerold om het in stand te houden en als de gebruiker zelf iets moet doen is ge woon overal te lezen dat het heel simpel is ga maar naar deze pagina <link> waar je iets kan downloaden die jou daarbij helpt, en als puntje bij paaltje komt , krijg je op die pagina weer 10km text waar het ook niet duidelijk is wat je waar moet downloaden en uitvoeren en hoe controleer je wat je eigenlijk moet doen voor je eigen pc?

Resultaat ofwel zal het automatisch in orde komen, ofwel zit je in hetzelfde schuitje als met jouw win10 pc waar je een pc hebt waar secureboot uiteindelijk voor jouw niet meer werkt omdat een of meerdere secureboot sleutels vervallen zijn en er geen tooltje bestaat dat de gewoon kunt uitvoeren om dat te vernieuwen !?

Bedankt IT mensen/cultuur van de nieuwe generatie.

Als je het niet kunt automatiseren dat het voor alle gebruikers zal blijven werken of dat wat er gedaan moet worden en hoe het gedaan moet worden een zinnig en duidelijk uitgelegd kan worden aan pakweg 70% van de gebruikers. Wat nut heeft het dan?

Dat is allemaal geldtrommelarij de gewone gebruiken moet maar extra betalen voor support, of zijn tijd spenderen door de mazen van bestaande en publieke documentatie om zichzelf te proberen behelpen wat ook veel tijd kan kosten en frustraties naar boven halen…
Koop maar lekker om de paar jaar een nieuwe pc !!

Of laten we dan toch maar niet gezamenlijk overstappen naar iets beters waar je toch in de driver Seat blijft: Linux bv.
Reageer
Safetyman @ledents11 februari 2026 14:31
Wellicht dat onderstaande link je op weg helpt en betere uitleg geeft:

https://www.pc-tips.info/tips/windows-tips/secure-boot-certificaten-updaten-in-windows-11/
Reageer
readefries @ledents11 februari 2026 08:10
Of laten we dan toch maar niet gezamenlijk overstappen naar iets beters waar je toch in de driver Seat blijft: Linux bv.
Het grappige is, op Debian kreeg ik de nieuwe CA van MS gewoon als een update geïnstalleerd. Het kan dus prima denk ik dan. Het voelt alsof niet alle fabrikanten hun verantwoordelijkheid nemen bij het updaten van de door hun gelevered machines via het standaard updateproces.
Reageer
Cyberpuppy @readefries11 februari 2026 12:42
Al die Amerikaanse bedrijven worden effectief aangestuurd door de afdelingen Legal en Finance (in die volgorde). Alles wat enig risico voor aansprakelijkheid vormt wordt doorgeschoven naar de klant. Zitten zij in ieder geval veilig.
Reageer
ScharlakenRood @ledents12 februari 2026 12:20
When using Secure Boot in Linux, you'll be impacted too. See the RedHat note on this
https://access.redhat.com/articles/7128933
Reageer
nos 10 februari 2026 20:48
Secure Boot playbook for certificates expiring in 2026

update van de BIOS is niet alles.. via reg of GPO moet je de update in gang zetten. Na een reboot zal cert pas in gebruik genomen worden. status van de voortgang kun je checken via regkey (zie link).. onze ervaring is dat het niet vanzelf gaat dus ermee aan de slag moet.

tot eind 2025 was de informatie vanuit MS gebrekkig .. gelukkig steeds meer info te vinden hierover.
Reageer
MallePietje @nos11 februari 2026 05:47
Wat een extreem onduidelijk en omslachtig gebruikersonvriendelijk proces.
Reageer
GertMenkel
@MallePietje11 februari 2026 07:00
Dit is het proces voor mensen die duizenden tot miljoenen installaties beheren. Zoals ze zelf al zeggen:
For most devices in your organization, Microsoft will automatically update high-confidence devices via Windows Update. However, you can validate and actively roll out these updates, in which case, you would start by conducting an inventory.
De meeste systeembeheerders die in 2023 het beveiligingsadvies hebben uitgevoerd zullen bijna klaar zijn, mits de normale (firmware-)updates ook gewoon uitgerold zijn. Maar goed, omdat dat een aardig proces is geweest dat onder andere het vervangen van network boot disks en systeemherstelschijven omvatte zullen er nog genoeg bedrijven zijn die nu pas daarmee beginnen.
Reageer
sfranken @nos10 februari 2026 21:07
Dat klopt, omdat een klassieke "BIOS" (beter: UEFI) update de certificatten niet bijwerkt klakkeloos. Dat moet je bij veel OEM's handmatig doen, omdat als je dit verneukt je hele systeem niet meer (lekker) boot, en fabrikanten met een fimware update dat risico liever niet lopen. Don't fix what ain't broken en al dat.
Reageer
!mark @nos10 februari 2026 21:08
Met alle respect, maar dit is nog steeds behoorlijk complex en lijkt meer gescheven te zijn voor systeembeheerders? Hier gaat een gemiddelde eindgebruiker toch never nooit uitkomen?

Heb hier 3 systemen welke officieel Windows 11 compatible zijn en voorzien van de laatste BIOS, alle 3 geven bij elke boot een 1801 error in de event log vergelijkbaar met dit; en ook mij is het nog niet echt duidelijk dit weg te krijgen zonder ingewikkelde commands enzo :+
Reageer
jimh307 @nos10 februari 2026 21:43
Toch wel merkwaardig want het is op mijn machine al gedownload:

KEK-update (Secure Boot Allowed Key Exchange Key) op 16-01-'26

De link: [url]Verlopen van Windows Secure Boot-certificaat en CA-updates - Microsoft Ondersteuning[/url]

De update is vanzelf gedownload. Waarom zijn mensen hier dan in paniek? Het is geen verplichte update en @Whizzy games zullen gewoon blijven werken zonder compromissen. Een notitie waard is het feit dat ik virtualisatie van de CPU heb uitgeschakeld zodat ik geen last heb van vertragende Core isolation settings:

[url]https://www.bing.com/search?q=Core+isolation&gs_lcrp=EgRlZGdlKgYIABBFGDkyBggAEEUYOagCALACAA&FORM=ANCMS9&PC=U531[/url]

Laten we dus niet zoveel afgeven op Windows 11 want de oplossing is simpel en als het niet lukt kun je inderdaad doen wat @AttiX je voorschotelt ;)
Reageer
Scriptkid @nos10 februari 2026 22:33
Stukje uit de MS wat moet ik doen.
For most individuals and businesses that allow Microsoft to manage PC updates, the new certificates will be installed automatically through the regular monthly Windows update process, with no additional action required. Some specialized systems such as certain server or IoT devices may follow different update processes and should be evaluated as a part of deployment planning
Klinkt als alleen als je systeem bouwer bent van IOT etc zul je extra op moeten letten, of als je exotische systemen met afwijkende UEFI draait.

volgens:
Windows devices for home users, businesses, and schools with Microsoft-managed updates - Microsoft Support

Zouden supported win 10 ook gewoon mee genomen zijn dit artikelwas al live in juni

[Reactie gewijzigd door Scriptkid op 10 februari 2026 22:36]

Reageer
grimson @Scriptkid12 februari 2026 13:18
Sorry, incorrecte informatie.

[Reactie gewijzigd door grimson op 12 februari 2026 15:35]

Reageer
Scriptkid @grimson12 februari 2026 15:07
Zoals ik het heit van mede tweakers lees kan dat dus wel , Omdat het systeem trusted is kan het met een API achtige interface babbelen om dat te doen.
Reageer
grimson @Scriptkid12 februari 2026 15:48
incorrect, excuses. dacht een kloppend verhaal te hebben 🙄
Reageer
GertMenkel
@nos11 februari 2026 06:52
Het voordeel: als je deze update installeert, ben je ook eindelijk beschermd tegen een bootkitexploit uit 2023 die Microsoft niet automatisch durft uit te rollen omdat systeembeheerders anders mogelijk voor verassingen staan.

Ze maken het wel heel kortdag zo door na drie jaar de boel eindelijk eens te gaan pushen vlak voordat hun certificaten verlopen. Ik ben benieuwd of ze überhaupt ooit gepusht hadden de kwetsbaarheid uit 2023 te patches als hun certificaten niet zouden verlopen dit jaar.
Reageer
grimson @GertMenkel12 februari 2026 13:26
incorrect, excuses. dacht een kloppend verhaal te hebben 🙄

[Reactie gewijzigd door grimson op 12 februari 2026 15:37]

Reageer
GertMenkel
@grimson12 februari 2026 13:47
Windows Update updatet wel degelijk de certificaten. Daarvoor werken ze samen met fabrikanten. Asus vertelt je bijvoorbeeld om gewoon Windows Update te draaien: https://www.asus.com/support/faq/1055903/

Iedere moederbordmaker die zijn zaakjes voor elkaar heeft, heeft Microsoft al lang een bestand gegeven ondertekend met hun eigen keys om die certificaten te flashen. Het spul moet gewoon via Windows Update gaan.

Fabrikanten die dat niet voor elkaar kunnen/willen krijgen zullen inderdaad BIOS-updates moeten uitrollen.
Reageer
grimson @GertMenkel12 februari 2026 14:24
Je hebt gelijk, ik was in de veronderstelling dat dit via de PK laag ging die firmware only is..

[Reactie gewijzigd door grimson op 12 februari 2026 15:43]

Reageer
IStealYourGun 10 februari 2026 20:50
PatchMyPC heeft enkele zeer uitgebreide (technische) blog posts over het vernieuwen in enterprise omgevingen.
https://patchmypc.com/blog/the-secure-boot-status-report-intune/

Tl;DR Microsoft is echt niet goed bezig. De deployment met intune is enorm buggy en het rapport dat vorige week beschikbaar was voor de opvolging is plots weer verdwenen.
Reageer
rudyooms @IStealYourGun11 februari 2026 11:11
:)... als je iets mits in het verhaal hoor ik het graag
Reageer
Urk @IStealYourGun11 februari 2026 18:54
Ik vind Intune uberhaupt verschrikkelijk, alleen al een reg key pushen is al een drama, werkt veel onhandiger dan GPO.... 8)7
Reageer
8bits 11 februari 2026 12:15
Hoe test ik of mijn PC wel of niet goed is?
Reageer
R4gnax
@8bits12 februari 2026 20:58
Check de System log in Event Viewer op Event ID 1801 en Event ID 1808.
1801 geeft aan hoeveel vertrouwen MS heeft dat ze succesvol je systeem kunnen updaten en geeft ook gefaalde pogingen aan. 1808 geeft succes aan.
Reageer
R.G 10 februari 2026 20:32
Hoe kan ik dit nu verifieren?
Reageer
R4gnax
@R.G10 februari 2026 20:59
Check de Windows event logs.
Zoek in de System log naar eventId 1808.
Dat eventId wordt gebruikt om aan te geven dat de SecureBoot CA certificaten bijgewerkt zijn.

Secure Boot Certificate updates: Guidance for IT professionals and organizati...

In brede zin is het artikel hier op Tweakers een hoop stampij-makerij. Op verreweg de meeste moederborden zal Microsoft automatisch de CA certificaten via de UEFI APIs automatisch kunnen updaten.
De verwachting is echter dat omdat het hier slechts mondjesmate gebruikte functionaliteit omvat, dat er moederborden zullen zijn met slechte UEFI firmware die dit niet goed ondersteunt. En juist die moederborden zullen updates nodig hebben.

Als dit proces wel slaagt, dan is er niets aan de hand tot het moment dat je ooit de UEFI zou moeten resetten en de 'default platform keys' weer opnieuw in zou willen laden. Dan worden namelijk de oude certificaten die in de UEFI firmware ingebakken zitten terug geregistreerd.
Om ook die te vervangen met de nieuwe certificaten heb je wel persè een firmware update vanuit de fabrikant v/h moederbord nodig.


Een boel van de recente opstartproblemen met Windows 11 alsmede het voorval waarbij 'per ongeluk' om de Bitlocker recovery key gevraagd is, zou onder de kap allemaal wel eens terug te leiden zijn naar MS die mondjesmate al bezig is deze updates uit te rollen.

Hiervoor houdt telemetrie omtrent SecureBoot een confidence indicator bij die aangeeft hoeveel vertrouwen er is dat op jouw specifieke hardwareomgeving een update van de SecureBoot certificaten zou slagen.
Dat komt overigens ook in de Windows event logs terecht. Onder eventId 1801. Als Microsoft er veel vertrouwen in heeft dat het zou moeten werken zal in die log 'Highly confident' staan.


Nog meer informatie kun je vinden op:
https://techcommunity.mic...-expiring-in-2026/4469235


Overigens - het feit dat MS waarschuwt voor het verlopen van het certificaat en dat het daarmee onmogelijk wordt om nog veilig met Secureboot te booten is onzin.

Secureboot verifieert de expiratiedatum v/d sleutel tegen de signeerdatum van de bootloader. Als de bootloader gesigneerd is voordat het certificaat vervallen is, is er geen enkel probleem.

Als ultieme failsafe kan MS voordat de sleutels verlopen nog een bootloader signeren die de optie open houdt om in de bootloader zelf de nieuwe certificaten onder te brengen en middels deze bootloader de signering van een andere bootloader te controleren, en deze dan te chain-booten.

Chaining van bootloaders is de normaalste zaak v/d wereld. Gewoongoed met Linux als je een dual boot met Windows op wilt zetten, bijv. En het is ook hoe verreweg de meeste Linux distros die SecureBoot ondersteunen, werken. Zij maken al gebruik van een basis bootloader die door Microsoft gesigneerd is en die een andere bootloader kan chain-booten.

[Reactie gewijzigd door R4gnax op 10 februari 2026 21:09]

Reageer
jaaoie17 @R4gnax11 februari 2026 00:00
Zie alleen de eventid 1801 en niet die 1808. Zit het dan wel goed?
Reageer
akaash00 @R4gnax11 februari 2026 10:14
Bedankt, als ik een custom view toevoeg met 1801 en 1808 zie ik precies dat na de preview patch van afgelopen week(de maandelijkse patch van deze week) de Secureboot CA keys zijn geupdate.
Reageer
grimson @R4gnax12 februari 2026 12:20
incorrect, excuses. dacht een kloppend verhaal te hebben 🙄

[Reactie gewijzigd door grimson op 12 februari 2026 15:37]

Reageer
EricJH @R.G10 februari 2026 21:38
Je kunt het vinden in dit Microsoft Artikel onder Device testing using registry keys. Als je deze stappen volgt dan dwing je het updaten van het certificaat af; normaal start het als Taak die iedere 12 uur wordt uitgevoerd.
Reageer
grimson @EricJH12 februari 2026 14:32
Die registry‑sleutel forceert alleen dat Windows Update meteen de Secure‑Boot database‑updates uitvoert. Dat werkt prima, maar alleen op systemen waarvan de firmware de nieuwe 2023‑CA al bevat. Windows kan die CA namelijk niet zelf installeren of toevoegen; dat kan alleen de OEM via een BIOS/UEFI‑update, of jijzelf handmatig in Setup Mode.

Als de 2023‑CA niet in de firmware zit, dan kan Windows Update ook niets “forceren” — de PK‑trust chain blijft dan gewoon op de oude 2011‑CA staan, en de switch naar de nieuwe bootloader‑ondertekening werkt dan simpelweg niet.

Kort gezegd:
de registry‑forcering werkt alleen als de firmware de 2023‑CA al heeft; Windows kan die CA zelf niet toevoegen.
Reageer
Soldaatje @R.G10 februari 2026 21:34
In Linux, installeer pakket efitools, in terminal type in efi-readvar. Als daarin staat onder KEK en DB Microsoft......CA 2023 dan is het goed.
Reageer
GertMenkel
@Soldaatje11 februari 2026 07:16
Mocht je Linux opstarten via een USB om dit te checken: zorg dan wel dat je in UEFI modus boot.

Vaak doe je dat door in de bootselector van je moederbord te kiezen voor "UEFI: Kingston ABCD" of "Ubuntu Linux" of "UEFI: External drive".

Oudere moederborden die CSM nog aan hebben staan willen ook nog wel eens de optie geven om een USB-stick in MBR-modus op te starten en dan werken de tools die met UEFI praten niet.
Reageer
oef! @R.G10 februari 2026 20:51
Mijn Windows 11 event manager vertelt het me nu al in system log. Is een gigabyte bord.
Reageer
BounceMeister 10 februari 2026 21:11
Dat wordt best problematisch met alle niet tech-savvy gebruikers die een systeem van meer dan enkele jaren oud hebben. Want updates ga je dan waarschijnlijk niet meer krijgen.
Reageer
R4gnax
@BounceMeister10 februari 2026 21:30
Uit alles inzake de Windows 10 -> 11 migratie en zwaar gepushte hardware-vereisten blijkt al dat Microsoft dat aan hun spreekwoordelijke reet kan roesten.

Sailliant detail trouwens: Microsoft eigen troubleshooting guidance merkt op dat als het updaten van de certificaten faalt, je nog steeds toegang tot je systeem zult behouden door gewoon SecureBoot uit te zetten.

En dat is guidance die geldt voor zowel Windows 10 als voor Windows 11.
Dus tot dusverre de mythe dat zij SecureBoot echt absoluut noodzakelijk gaan maken.

[Reactie gewijzigd door R4gnax op 10 februari 2026 21:32]

Reageer
Xfade @R4gnax10 februari 2026 23:50
Dat lijkt me meer een advies met een caveat. Je kan wel door, maar...
Reageer
Oudecomputer @BounceMeister11 februari 2026 02:35
Misschien wordt het tijd om Microsoft en Windows achter te laten. Ik heb jaren geleden mijn ouders al gemigreerd naar linux Mint.dus nu heb ik geen kopzorgen hoe moet je dit uitleggen aan 70+ ers
Reageer
ScharlakenRood @Oudecomputer12 februari 2026 12:23
zie ledents in 'Microsoft waarschuwt: Windows-certificaten voor Secure Boot verlopen in juni'
Reageer
m_snel @BounceMeister10 februari 2026 21:34
Volgens mij moest ik dat gewoon uitzetten na een niet ondersteunde update naar Windows 11.
De installatie had die blijkbaar in de bios aangepast, en kon er geen boot device meer gevonden worden.
Reageer
gixslayer @BounceMeister10 februari 2026 23:44
Lijkt er ook op dat mijn laptop (XPS 15 7590) geen BIOS/UEFI update gaat krijgen waar de 2023 certificates in zitten, aldus Dell die niks voor 2020 meer gaat updaten. Draai er zelf geen Windows op, dus via die updates gaat ze er ook niet in komen, en al zal dat wel dan moet je dus nooit de keys resetten want die worden dan niet gerestored.

Wel leuk dat de laatste BIOS update (1.35) van 10 maart 2025 die 2023 certificates/keys nog steeds niet bevat, lijkt me toch niet heel veel moeite voor ze 8)7

Stel je toch eens voor dat hardware uit 2019 nog gewoon goed kan werken, waarom zou je dat blijven supporten |:(
Reageer
grimson @gixslayer12 februari 2026 13:32
incorrect, excuses. dacht een kloppend verhaal te hebben 🙄

[Reactie gewijzigd door grimson op 12 februari 2026 15:37]

Reageer
GertMenkel
@BounceMeister11 februari 2026 07:20
Voor normale mensen wordt dit allemaal automatisch geregeld via Windows Update. Alleen bij bepaalde, brakke moederborden met een kapotte firmware kan Windows dit niet zelf doen, dan kan het een probleem gaan vormen.

Die brakke computers hebben een update nodig (die je wellicht niet altijd krijgt bij brakke merken) of moeten handmatig een certificaat inladen (omdat secure boot je gewoon je eigen certificaten laat kiezen mocht je Microsoft niet vertrouwen).

Van de zomer gaan we zien welke merken moederborden en prebuilds we beter kunnen ontwijken zodra de eerste meldingen binnenkomen dat de update niet automatisch ging en Windows niet meer opstart. Zuur voor die mensen dat ze handmatig de problemen van hun moederbordfabrikant moeten oplossen, maar wel een mooie indicatie van welke moederbordfabrikanten hun zaakjes voor elkaar hebben.
Reageer
JacOwns7 @GertMenkel11 februari 2026 12:32
Windows zal wel doorstarten, echter zonder Secureboot als failsafe.
Reageer
GertMenkel
@JacOwns711 februari 2026 12:48
Als je secure boot uitzet wel. Als je secure boot aan laat staan, de nieuwe bootloader installeert, maar niet in staat bent om de database in je moederbord bij te werken, krijgt Windows de kans niet om te starten omdat je UEFI-firmware zal weigeren de image te starten. De foutmelding die je krijgt zal verschillen van "security violation" tot "no bootable device found" maar Windows zal het niet gaan doen.
Reageer
JacOwns7 @GertMenkel11 februari 2026 13:58
Je krijgt bij Windows-updates zelden een compleet nieuwe bootloader, meestal gaat het om een refresh van de bestaande bootloader. Wat je aangeeft, gebeurt eerder bij custom bootloaders die niet door Microsoft zijn ondertekend.

Zoals R4gnax in zijn antwoorden goed uitlegt, zal Windows in dit geval niet falen om te starten vanwege verlopen certificaten. De firmware vertrouwt de sleutels en certificaten, ongeacht hun PKI-vervaldatum, zodat Secure Boot gewoon blijft werken.

Problemen ontstaan pas in situaties zoals:
Het BIOS/UEFI resetten naar fabrieksinstellingen
Secure Boot-sleutels wissen
PK/KEK/db/dbx aanpassen

In normale update- of herstelscenario’s van Windows is de kans dat Secure Boot hierdoor wordt geblokkeerd dus praktisch nul.
Reageer
GertMenkel
@JacOwns711 februari 2026 14:09
Microsoft zal in 99% van de gevallen gewoon de sleutels kunnen bijwerken en doet alles het daarna weer, daarom zeg ik ook specifiek "niet in staat bent om de database in je moederbord bij te werken". Specifiek in de gevallen dat dit niet automatisch goed gaat (zoals bijvoorbeeld in een andere reactie werd benoemd over een Gigabyte-moederbord) is er handmatige actie vereist.

Microsoft heeft hun eigen, Windows-bootloader opnieuw uitgegeven in de update om CVE-2023-24932 op te lossen. Daarom hebben ze dit probleem ook niet in 2023 opgelost (toen het probleem wereldkundig werd gemaakt); de patch was af in 2024, werd aangeboden aan systeembeheerders in 2025, en nu pas komen ze met deze handleiding.

Die Windows-bootloader is ondertekend met de nieuwe sleutels en niet de oude. Hij zal dus niet valideren. Het verlopen certificaat is maar één probleem, het gebrek aan het vertrouwen van het nieuwe certificaat gaat je echt in de weg zitten.

Je kunt voor nu de update met de nieuwe bootloader proberen te blokkeren, maar op een gegeven moment zullen ook de installatieschijven en andere tools van Microsoft stoppen met werken, en op een gegeven moment zal ook die bootloader een keer bijgewerkt moeten worden.
Reageer
grimson @GertMenkel12 februari 2026 13:34
incorrect, excuses

[Reactie gewijzigd door grimson op 12 februari 2026 15:36]

Reageer
Skit3000 10 februari 2026 20:29
Is er een reden dat ze deze certificaten pas na 15 jaar proberen te updaten in plaats van 14 jaar? Bij dat laatste zouden Windows 10 gebruikers niet buiten de boot zijn gevallen.
Reageer
Pogostokje @Skit300010 februari 2026 20:46
De nieuwe certificaten zijn in 2023 beschikbaar gekomen. Dat is na 12 jaar. Drie jaar voor de deadline. Alleen, het vereist een upgrade van de bios om deze te installeren. Niet iedereen update zijn bios of heeft een systeem dat in (voldoende) support is om na 2023 nog een bios update te hebben gehad.

[Reactie gewijzigd door Pogostokje op 10 februari 2026 20:47]

Reageer
R4gnax
@Pogostokje10 februari 2026 21:24
Alleen, het vereist een upgrade van de bios om deze te installeren.
Dat doet het niet. Key enrollment is een standaard feature van SecureBoot binnen UEFI en een vereist onderdeel om het te mogen implementeren. Daarbij hoort ook een API richting de OS kernel zodat deze keys kan enrollen.

Microsoft rolt hier updates voor uit en je kunt middels een registersleutel of, indien je een Pro SKU draait, een group policy, forceren dat je onmiddelijk de updates voor bijgewerkte CAs inclusief de Secureboot CA binnenkrijgt op je systeem en deze geinstalleerd worden:

https://techcommunity.mic...ommunity-4469235-_option4


Je hebt enkel firmware updates nodig om de nieuwe CA onderdeel te maken van de set standaard platform keys die geherinstalleerd worden in de UEFI als je deze ooit zou resetten. Zolang je dat niet doet, heb je zo'n update niet nodig.

Tenzij je een moederbord hebt met een UEFI welke bugs in de key enrollment APIs heeft zitten. Dan heb je tenminste een firmware update nodig om die bugs te fixen, waarna Microsoft via Windows Update de nieuwe CAs kan gaan installeren vanuit het OS.

In gevallen waar zelfs dat faalt:
Als ultiem middel kun je altijd via de website van MS op een ander systeem de nieuwe sleutels downloaden, en deze bijv. via een USB thumbdrive handmatig aan je UEFI toevoegen. Ook dat is een vereist onderdeel dat fabrikanten moeten implementeren als ze SecureBoot willen voeren op hun UEFI moederborden.
Reageer
grimson @R4gnax12 februari 2026 13:40
incorrect, excuses.. pittig materiaal

[Reactie gewijzigd door grimson op 12 februari 2026 15:36]

Reageer
nos @Pogostokje10 februari 2026 20:59
OEM fabrikanten die al sinds 2024 bezig zijn om dit te regelen, brengen 15 januari 2026 pas de Firmwares uit met de geupdate certs
Reageer
TD-er @Pogostokje10 februari 2026 22:09
of zoals in mijn geval, is de BIOS/UEFI chip waarschijnlijk defect of heeft defecte sectoren.

Ik heb meermalen getracht om te updaten en daarna is het onmogelijk om de PC te starten. Een recovery naar de oorspronkelijke versie werkt dan weer.

Gigabyte B550 board.

Zou toch een beetje zinloos zijn als ik dan een AMD Ryzen9 3900X met 96 GB RAM zou moeten vervangen omdat een certificaat verloopt.
PC draait op de eerste UEFI die voor dat bord uitgekomen is en ik heb in Windows al vaker meldingen in de eventlog voorbij zien komen dat bepaalde dingen niet in TPM opgeslagen konden worden, dus vermoedelijk zal zo'n cert. update ook niet werken.
Reageer
Scriptkid @TD-er10 februari 2026 22:38
volgenmij heeft die helemaal geen TPM,

gebruikteAMD geen virtual TPM
Reageer
GertMenkel
@Scriptkid11 februari 2026 07:02
Een Ryzen 9 3900X heeft gewoon een fTPM. TPM 2.0 zelfs, in tegenstelling tot oudere CPU's die geen Windows 11 krijgen omdat hun fTPM alleen TPM 1.2 doet en AMD en Intel nooit de moeite hebben gedaan de firmware daarvoor te updaten.
Reageer
Scriptkid @GertMenkel11 februari 2026 09:32
FTPM, or Firmware Trusted Platform Module, is a type of TPM that is integrated into the system firmware instead of using a dedicated chip

Dus een virtual :)
Reageer
GertMenkel
@Scriptkid11 februari 2026 12:06
Ah, technisch gezien klopt dat wellicht, al is de "firmware" hier wel grotendeels de microcode die de grens tussen software en hardware vervaagt :) . Er zit ook een hardwarebacking achter in de CPU zelf, je kunt het niet als onderdeel van je besturingssysteem draaien bijvoorbeeld.

Bij virtuele TPM's denk ik eerder aan iets als dit: https://trustedcomputinggroup.org/about/what-is-a-virtual-trusted-platform-module-vtpm/

"Virtual TPM" wordt erg vaak gebruikt om een TPM aan te duiden die beschikbaar is voor virtuele machines (in de cloud of in je lokale HyperV/VMWare Workstation/VirtualBox/KVM), die draait écht alleen in software, vaak op een manier dat het hostbesturingssysteem ook de inhoud van de TPM kan zien wat bij een fTPM niet het geval is.

[Reactie gewijzigd door GertMenkel op 11 februari 2026 12:07]

Reageer
GertMenkel
@TD-er11 februari 2026 07:08
Brakke firmware is volgens mij de hoofdreden dat deze updates nog steeds niet wijdverspreid worden uitgerold. Je installeert een Windows Update, je kapotte moederbord gaat over de zeik, maar je zult eerder Microsoft dan je kapotte moederbord de schuld geven voor het niet om kunnen gaan met key enrollment.

Mocht je last krijgen van het verlopen certificaat dan kun je handmatig het certificaat importeren in de secure boot configuratie. Bitlocker gaat wel eenmalig over de zeik, dus als je dat gebruikt moet je je herstelsleutel alvast even opzoeken, maar daarna moet het gewoon werken.

Als een eigen certificaat importeren ook niet werkt dan ben je de pineut, dan zou ik contact gaan zoeken met Gigabyte of desnoods de zaak waar je het moederbord vandaan hebt, want dan is dat spul gewoon niet degelijk.

Overigens heb ik zelf met Gigabyte meegemaakt dat hun UEFI gek gaat doen als je te veel dingen in NVRAM opslaat. Een keer een factory reset van de UEFI kan dat oplossen, dan gedraagt de boel zich weer.
Reageer
L0g0ff @Pogostokje10 februari 2026 22:58
Buiten de boot :+ :+ :+
Reageer
HanG-BuiK-ZwijN @Skit300010 februari 2026 20:35
Microsoft heeft liever dat je op Windows 11 gaat zitten ivm meer data vergaring. Het was dus een bewuste keuze om het te doen na het verlopen van de support van windows 10 al dan niet icm met de keuze om w10 support juist bewust te stoppen voor het verlopen van de certificaten.
Reageer
m_snel @HanG-BuiK-ZwijN10 februari 2026 21:45
Je kan W11 gewoon installeren zonder gebruik te maken van secure boot. Dus lijkt me dit een bewuste verkeerde voorstelling van zaken.
Reageer
Pim0377 @m_snel10 februari 2026 21:58
Ja, dat is dan wel zo voor particulieren, maar als bedrijf zijnde wil je eigenlijk niet installeren zonder secure boot.

Meestal kan je in de BIOS van bijvoorbeeld Dell en HP laptops wel al zonder secure boot het onmogelijk maken van iets anders dan de geinstalleerde SSD/HDD te booten, icm een zeer stevig BIOS admin password. Maar een extra check laag is nooit verkeerd, een wijs iemand zei ooit tegen mij....is het te maken, dan is het te kraken....en je zal ze nooit voor 100% buiten kunnen houden, beste wat je kan doen is het ze zo lastig mogelijk maken en zo veel mogelijk vertragingen inbouwen :)
Reageer
Scriptkid @Pim037710 februari 2026 22:20
Als bedrijf zijnde wil je ook niet op een unsupported is zitten Dus win 10 is geen issue
Reageer
Pim0377 @Scriptkid10 februari 2026 22:54
Nou....eerlijk gezegd zit ik liever, als bedrijf zijnde, op een OS dat de afgelopen 10 jaar allemaal security updates en whatever heeft gekregen dan een OS dat wordt gepushed door de maker ervan, terwijl het oneindig veel bugs bevat, net zoals zijn voorganger tijdens launch, alleen maar omdat dat meer inkomsten oplevert voor hun.
Reageer
thetakman @Pim037711 februari 2026 08:16
Wat je zegt klopt niet helemaal.
Dat er de afgelopen 10 jaar hard aan gesleuteld is, maakt voor de security relatief weinig uit.
Er wordt constant gezocht naar nieuwe gaten, en deze worden nu simpel weg niet meer gedicht.

Wat je nu doet is hetzelfde zeggen als: Ja maar er komen geen muggen binnen, want kijk hoeveel mijn hor de afgelopen 10 jaar heeft tegengehouden.

Prima.. maar zodra je dat hor onbeheerd openlaat, krijg je gewoon nieuwe beestjes binnen.
Reageer
Pogostokje @Pim037711 februari 2026 11:43
De launch van Windows 11 was in 2021, dat is ook alweer 4 tot 5 jaar geleden. Windows 10 heeft 11 jaar support gehad en wordt na 11 jaar vervangen. Dat is veel minder vaak dan Apple of Linux distros nieuwe releases uitbrengen. Ik weet niet welk OS jouw voorkeur heeft maar je lijkt wat donker te kijken naar het Windows eco systeem.

Over support: de afgelopen 10 jaar zeggen helemaal niks over een bug in Windows 10 die volgende maand pas ontdekt wordt. Het is helemaal niet zo dat een systeem voor altijd veilig blijft als je er maar lang genoeg aan gesleuteld hebt. Als bedrijf, wat je zegt, wil je zeker niet op een niet langer ondersteund/bijgewerkt systeem blijven zitten. Dat is vragen om veel grote ellende en je IT afdeling zal het daar dan ook niet mee eens zijn.

Als laatste is Windows 11 een voortzetting van Windows 10. Het is niet nieuw, het gaat verder op de basis van Windows 10. Er zitten dan ook niet oneindig veel bugs in, ik weet echt niet waar je dat vandaan haalt.
Reageer
Scriptkid @HanG-BuiK-ZwijN10 februari 2026 22:39
Windows devices for home users, businesses, and schools with Microsoft-managed updates - Microsoft Support

Volgens dit artikel van voor het verlopen van win 10 support waren supportedm win 10 ook goed.
Reageer
Zwatelaar @Skit300010 februari 2026 20:49
15 is hoger dan 14, dus beter.
Net als dat Windows 11 beter is dan 10.
:?
Reageer
beerse @Zwatelaar11 februari 2026 09:44
95 is veel hoger dan 10... Of windows 95 nu beter is dan windows 10...
Reageer
Xfade @Skit300010 februari 2026 23:44
die windows 10 gebruikers moesten upgraden toch? :)
Reageer
keverjeroen 10 februari 2026 22:06
Wat is de firmware van een pc? Bedoelen ze niet de bios?
Reageer
84hannes @keverjeroen10 februari 2026 22:33
BIOS is de oude naam van het oude systeem, tegenwoordig is het een complexer systeem onder de naam UEFI.
Reageer
Blokker_1999
@84hannes11 februari 2026 07:22
waarbij de F in UEFI staat voor firmware.
Reageer
beerse @keverjeroen11 februari 2026 09:47
Firmware is de algemene term. Bios, efi en uefi zijn nadere invullingen van details. Termen als boot-code komen (kwamen) ook voor.

Firmware is nog breder dan dat, bedenk dat er ook firmware in videokaarten en dergelijke complexe i/o kaarten zit.
Reageer
R.G 10 februari 2026 22:31
Wat voor impact heeft dit op Windows 10?

Stel certificaten zijn verlopen zometeen start je pc niet meer op of wat is daar de consequenties van?

Het is ongelooflijk..

Windows 10

Microsoft merkt nog op dat de nieuwe certificaten niet uitkomen voor oudere Windows-versies, die geen ondersteuning meer krijgen. Dit omvat ook Windows 10, behalve als gebruikers hun computers met die vorige versie hebbe
Reageer
R4gnax
@R.G10 februari 2026 23:12
Stel certificaten zijn verlopen zometeen start je pc niet meer op
Dat gebeurt niet. SecureBoot checkt de verloopdatum v/h certificaat tegen de signeerdatum van de bootloader. Een oude, bestaande bootloader blijft gewoon werken. Ook als het certificaat verlopen is.
Reageer
hader @R4gnax11 februari 2026 11:42
Klopt. Windows start wel op, maar krijgt dan geen security updates meer.
Reageer
R4gnax
@hader11 februari 2026 18:49
Windows krijgt vziw op dat moment nog gewoon security updates. Alleen de bootloader niet.
Reageer
grimson @R4gnax12 februari 2026 14:55
Ja dit is best interessant waarom;
Secure Boot werkt niet zoals PKI op het web. Een 'verlopen certificaat' maakt een bestaande bootloader niet ongeldig. Wat telt is de ondertekeningsdatum: zolang de bootloader destijds is gesigned in een periode waarin de 2011‑CA geldig was, blijft die signature gewoon vertrouwd. Daarom blijft een systeem met alleen de 2011‑CA in de firmware gewoon booten.

Het risico zit ergens anders:
zodra Microsoft stopt met het signen van nieuwe bootloaders met de 2011‑CA en volledig overstapt op de 2023‑CA, kan een systeem zonder die 2023‑CA in de firmware geen nieuwe bootloader‑updates meer toepassen. Booten blijft werken, maar je blijft dan vastzitten op de laatste bootloader die nog met de 2011‑CA is ondertekend.

Kort gezegd:
het gaat niet om certificaatverloop, maar om de ondertekeningsdatum. De oude bootloader blijft geldig, maar nieuwe bootloaders kunnen niet meer worden toegepast als je firmware de 2023‑CA niet kent
Reageer
R4gnax
@grimson12 februari 2026 20:41
Nieuwe bootloaders kunnen nog steeds toegepast worden.
Dat vereist dat MS nog voordat* het certificaat verloopt een bootloader maakt op basis v/h oude certificaat die bootloaders ondertekend met het nieuwe certifcaat zou kunnen inladen. Dat is het chainen van bootloaders. Iets wat je bijv. als je Windows en Linux op je thuissysteem zou willen dual-booten, ook al moet doen.

Door de certificaatvalidatie v/h nieuwe certificaat dus in die tussenlaag bootloader te zetten, kunnen ze getroffen mensen waarbij de key niet te vervangen zou zijn in de UEFI, alsnog van werkende updates aan de echte bootloader blijven voorzien. Wat eigenlijk heel belangrijk is aangezien hier ook bugfixes voor zaken gelieerd aan bijv. Bitlocker in plaats moeten kunnen vinden; en het dus niet alleen een kwestie van beveiliging is; maar mogelijk ook van data-integriteit.

Dat wil Microsoft waarschijnlijk echter niet doen, want ze willen uiteindelijk hun Key Exchange Key (KEK) gebruiken om niet alleen de 2023 CA te installeren, maar ook die oude 2011 CA te verwijderen. Er zijn namelijk diverse bootloaders ondertekend met die 2011 CA in omloop die compromiteerbaar zijn en waar middels bootkits (de overtreffende trap van rootkits) gemaakt zijn. Zoals de beruchte Black Lotus bootkit.

De enige manier om daar vanaf te komen, is het oude certificaat totaal verwijderen, zodat ook eerder ondertekende bootloaders ophouden met werken. En dat is Microsoft's eindstreven hier.


*) of achteraf met heel veel pijn en moeite, onder genotoriseerde waarneming, etc. etc. zeer tijdelijk de mogelijkheid krijgt om de klok terug te draaien op de signing servers.
Onwaarschijnlijk? Denk eraan dat noodzaak gesmeerd met geld, flink wat deuren opent.

[Reactie gewijzigd door R4gnax op 12 februari 2026 20:43]

Reageer
grimson @R4gnax12 februari 2026 22:44
Ik had helaas vandaag wat onwaarheden geplaatst maar ook weer verwijderd. Helaas erg complexe materie maar dank voor al je opmerkingen die naar mijn idee de beste zijn over dit topic.
Reageer
R4gnax
@grimson12 februari 2026 22:46
Geeft niet. Het is ook gewoon complexe materie. (En eerlijk gezegd is veel van de documentatie die MS zelf er over beschikbaar stelt ook ... laten we zeggen 'niet geschikt voor consumptie.')
Reageer
runnershigh 10 februari 2026 20:50
Hoe werkt dat voor het starten van Windows in een VM? Wordt (of is) het issue dan opgelost met een update van bv VMware?
Reageer
mtenberg @runnershigh10 februari 2026 20:59
Voor VMware ESX(i): https://knowledge.broadco...rporation-kek-ca-202.html
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq