Microsoft waarschuwt: Windows-certificaten voor Secure Boot verlopen in juni

Microsoft waarschuwt Windows-gebruikers en -beheerders dat de beveiligingscertificaten voor het beveiligd opstarten van hun computers eind juni dit jaar verlopen. De certificaten voor Secure Boot staan opgeslagen in de firmware van pc's en die moet daarom een update krijgen.

Microsoft werkt samen met partnerbedrijven in het Windows-ecosysteem. De maker van Windows noemt het verversen van de certificaten voor Secure Boot 'één van de grootste gecoördineerde inspanningen voor beveiligingsonderhoud'. Deze operatie omvat onderhoud aan Windows, updates voor firmware en miljoenen unieke apparaatconfiguraties wereldwijd, legt Microsoft uit in een blogpost.

"Omdat Secure Boot werkt op het niveau van de firmware en invloed heeft op hoe een pc start, vereisen deze veranderingen zorgvuldige voorbereiding", schrijft het softwarebedrijf. Fouten bij het invoeren van nieuwe beveiligingscertificaten met een nieuwe vervaldatum kunnen voor verstoringen zorgen of de beveiliging van pc's en servers aantasten. Als een computer geen nieuw certificaat krijgt ter vervanging van de oorspronkelijke bootcertificaten uit 2011, werkt het systeem nog wel, maar ontbreekt bescherming tegen kwetsbaarheden op bootniveau.

Computermakers leveren al bijgewerkte certificaten op nieuwe systemen. Ze bieden deze ook voor veel pc's die sinds 2024 op de markt verschenen. Volgens Microsoft hebben bijna alle in 2025 geleverde computers al de nieuwe certificaten. Voor oudere computers zijn updates vereist, waar pc-fabrikanten als Dell, HP en Lenovo aan meewerken. Microsoft distribueert de firmware-updates dan via Windows Update.

Windows 10

Microsoft merkt nog op dat de nieuwe certificaten niet uitkomen voor oudere Windows-versies, die geen ondersteuning meer krijgen. Dit omvat ook Windows 10, behalve als gebruikers hun computers met die vorige versie hebben aangemeld voor Extended Security Updates. De ondersteuning voor Windows 10 liep op 14 oktober 2025 af, maar Europese gebruikers konden gratis een jaar uitstel krijgen.

Windows 11
Windows 11 (beeld: Microsoft)

Door Jasper Bakker

Nieuwsredacteur

Feedback • 10-02-2026 20:24 50

10-02-2026 • 20:24

50

Lees meer

Windows 11 stopt support oude printerdrivers, 'printer werkt mogelijk niet meer'
Windows 11 stopt support oude printerdrivers, 'printer werkt mogelijk niet meer' Nieuws van 8 februari 2026
Nvidia onderzoekt gpu-problemen in games na recente Windows 11-update
Nvidia onderzoekt gpu-problemen in games na recente Windows 11-update Nieuws van 6 februari 2026
Microsoft zet verouderd authenticatieprotocol NTLM stap voor stap uit in Windows
Microsoft zet verouderd authenticatieprotocol NTLM stap voor stap uit in Windows Nieuws van 30 januari 2026
Windows 11 bereikt mijlpaal van 1 miljard installaties sneller dan Windows 10
Windows 11 bereikt mijlpaal van 1 miljard installaties sneller dan Windows 10 Nieuws van 29 januari 2026
Microsoft werkt aan oplossing bootproblemen, maar herstelt defecte pc's nog niet
Microsoft werkt aan oplossing bootproblemen, maar herstelt defecte pc's nog niet Nieuws van 28 januari 2026
Microsoft onderzoekt bug waardoor Windows-pc's niet booten na update
Microsoft onderzoekt bug waardoor Windows-pc's niet booten na update Nieuws van 26 januari 2026
Microsoft dicht drie zerodays waarvan één actief werd misbruikt
Microsoft dicht drie zerodays waarvan één actief werd misbruikt Nieuws van 14 januari 2026
Meer producten en artikelen
Besturingssystemen Netwerk en systeembeheer Computerhulp Microsoft Windows Bootdrive Bootloader Certificaat secure boot Security Windows 11

Reacties (50)

-Moderatie-faq
50
49
25
6
0
21
Wijzig sortering

Sorteer op:

Weergave:
nos 10 februari 2026 20:48
Secure Boot playbook for certificates expiring in 2026

update van de BIOS is niet alles.. via reg of GPO moet je de update in gang zetten. Na een reboot zal cert pas in gebruik genomen worden. status van de voortgang kun je checken via regkey (zie link).. onze ervaring is dat het niet vanzelf gaat dus ermee aan de slag moet.

tot eind 2025 was de informatie vanuit MS gebrekkig .. gelukkig steeds meer info te vinden hierover.
Reageer
jimh307 @nos10 februari 2026 21:43
Toch wel merkwaardig want het is op mijn machine al gedownload:

KEK-update (Secure Boot Allowed Key Exchange Key) op 16-01-'26

De link: [url]Verlopen van Windows Secure Boot-certificaat en CA-updates - Microsoft Ondersteuning[/url]

De update is vanzelf gedownload. Waarom zijn mensen hier dan in paniek? Het is geen verplichte update en @Whizzy games zullen gewoon blijven werken zonder compromissen. Een notitie waard is het feit dat ik virtualisatie van de CPU heb uitgeschakeld zodat ik geen last heb van vertragende Core isolation settings:

[url]https://www.bing.com/search?q=Core+isolation&gs_lcrp=EgRlZGdlKgYIABBFGDkyBggAEEUYOagCALACAA&FORM=ANCMS9&PC=U531[/url]

Laten we dus niet zoveel afgeven op Windows 11 want de oplossing is simpel en als het niet lukt kun je inderdaad doen wat @AttiX je voorschotelt ;)
Reageer
sfranken @nos10 februari 2026 21:07
Dat klopt, omdat een klassieke "BIOS" (beter: UEFI) update de certificatten niet bijwerkt klakkeloos. Dat moet je bij veel OEM's handmatig doen, omdat als je dit verneukt je hele systeem niet meer (lekker) boot, en fabrikanten met een fimware update dat risico liever niet lopen. Don't fix what ain't broken en al dat.
Reageer
!mark @nos10 februari 2026 21:08
Met alle respect, maar dit is nog steeds behoorlijk complex en lijkt meer gescheven te zijn voor systeembeheerders? Hier gaat een gemiddelde eindgebruiker toch never nooit uitkomen?

Heb hier 3 systemen welke officieel Windows 11 compatible zijn en voorzien van de laatste BIOS, alle 3 geven bij elke boot een 1801 error in de event log vergelijkbaar met dit; en ook mij is het nog niet echt duidelijk dit weg te krijgen zonder ingewikkelde commands enzo :+
Reageer
IStealYourGun 10 februari 2026 20:50
PatchMyPC heeft enkele zeer uitgebreide (technische) blog posts over het vernieuwen in enterprise omgevingen.
https://patchmypc.com/blog/the-secure-boot-status-report-intune/

Tl;DR Microsoft is echt niet goed bezig. De deployment met intune is enorm buggy en het rapport dat vorige week beschikbaar was voor de opvolging is plots weer verdwenen.
Reageer
Skit3000 10 februari 2026 20:29
Is er een reden dat ze deze certificaten pas na 15 jaar proberen te updaten in plaats van 14 jaar? Bij dat laatste zouden Windows 10 gebruikers niet buiten de boot zijn gevallen.
Reageer
Pogostokje @Skit300010 februari 2026 20:46
De nieuwe certificaten zijn in 2023 beschikbaar gekomen. Dat is na 12 jaar. Drie jaar voor de deadline. Alleen, het vereist een upgrade van de bios om deze te installeren. Niet iedereen update zijn bios of heeft een systeem dat in (voldoende) support is om na 2023 nog een bios update te hebben gehad.

[Reactie gewijzigd door Pogostokje op 10 februari 2026 20:47]

Reageer
R4gnax
@Pogostokje10 februari 2026 21:24
Alleen, het vereist een upgrade van de bios om deze te installeren.
Dat doet het niet. Key enrollment is een standaard feature van SecureBoot binnen UEFI en een vereist onderdeel om het te mogen implementeren. Daarbij hoort ook een API richting de OS kernel zodat deze keys kan enrollen.

Microsoft rolt hier updates voor uit en je kunt middels een registersleutel of, indien je een Pro SKU draait, een group policy, forceren dat je onmiddelijk de updates voor bijgewerkte CAs inclusief de Secureboot CA binnenkrijgt op je systeem en deze geinstalleerd worden:

https://techcommunity.mic...ommunity-4469235-_option4


Je hebt enkel firmware updates nodig om de nieuwe CA onderdeel te maken van de set standaard platform keys die geherinstalleerd worden in de UEFI als je deze ooit zou resetten. Zolang je dat niet doet, heb je zo'n update niet nodig.

Tenzij je een moederbord hebt met een UEFI welke bugs in de key enrollment APIs heeft zitten. Dan heb je tenminste een firmware update nodig om die bugs te fixen, waarna Microsoft via Windows Update de nieuwe CAs kan gaan installeren vanuit het OS.

In gevallen waar zelfs dat faalt:
Als ultiem middel kun je altijd via de website van MS op een ander systeem de nieuwe sleutels downloaden, en deze bijv. via een USB thumbdrive handmatig aan je UEFI toevoegen. Ook dat is een vereist onderdeel dat fabrikanten moeten implementeren als ze SecureBoot willen voeren op hun UEFI moederborden.
Reageer
nos @Pogostokje10 februari 2026 20:59
OEM fabrikanten die al sinds 2024 bezig zijn om dit te regelen, brengen 15 januari 2026 pas de Firmwares uit met de geupdate certs
Reageer
TD-er @Pogostokje10 februari 2026 22:09
of zoals in mijn geval, is de BIOS/UEFI chip waarschijnlijk defect of heeft defecte sectoren.

Ik heb meermalen getracht om te updaten en daarna is het onmogelijk om de PC te starten. Een recovery naar de oorspronkelijke versie werkt dan weer.

Gigabyte B550 board.

Zou toch een beetje zinloos zijn als ik dan een AMD Ryzen9 3900X met 96 GB RAM zou moeten vervangen omdat een certificaat verloopt.
PC draait op de eerste UEFI die voor dat bord uitgekomen is en ik heb in Windows al vaker meldingen in de eventlog voorbij zien komen dat bepaalde dingen niet in TPM opgeslagen konden worden, dus vermoedelijk zal zo'n cert. update ook niet werken.
Reageer
HanG-BuiK-ZwijN @Skit300010 februari 2026 20:35
Microsoft heeft liever dat je op Windows 11 gaat zitten ivm meer data vergaring. Het was dus een bewuste keuze om het te doen na het verlopen van de support van windows 10 al dan niet icm met de keuze om w10 support juist bewust te stoppen voor het verlopen van de certificaten.
Reageer
m_snel @HanG-BuiK-ZwijN10 februari 2026 21:45
Je kan W11 gewoon installeren zonder gebruik te maken van secure boot. Dus lijkt me dit een bewuste verkeerde voorstelling van zaken.
Reageer
Pim0377 @m_snel10 februari 2026 21:58
Ja, dat is dan wel zo voor particulieren, maar als bedrijf zijnde wil je eigenlijk niet installeren zonder secure boot.

Meestal kan je in de BIOS van bijvoorbeeld Dell en HP laptops wel al zonder secure boot het onmogelijk maken van iets anders dan de geinstalleerde SSD/HDD te booten, icm een zeer stevig BIOS admin password. Maar een extra check laag is nooit verkeerd, een wijs iemand zei ooit tegen mij....is het te maken, dan is het te kraken....en je zal ze nooit voor 100% buiten kunnen houden, beste wat je kan doen is het ze zo lastig mogelijk maken en zo veel mogelijk vertragingen inbouwen :)
Reageer
Scriptkid @Pim037710 februari 2026 22:20
Als bedrijf zijnde wil je ook niet op een unsupported is zitten Dus win 10 is geen issue
Reageer
Zwatelaar @Skit300010 februari 2026 20:49
15 is hoger dan 14, dus beter.
Net als dat Windows 11 beter is dan 10.
:?
Reageer
R.G 10 februari 2026 20:32
Hoe kan ik dit nu verifieren?
Reageer
R4gnax
@R.G10 februari 2026 20:59
Check de Windows event logs.
Zoek in de System log naar eventId 1808.
Dat eventId wordt gebruikt om aan te geven dat de SecureBoot CA certificaten bijgewerkt zijn.

Secure Boot Certificate updates: Guidance for IT professionals and organizati...

In brede zin is het artikel hier op Tweakers een hoop stampij-makerij. Op verreweg de meeste moederborden zal Microsoft automatisch de CA certificaten via de UEFI APIs automatisch kunnen updaten.
De verwachting is echter dat omdat het hier slechts mondjesmate gebruikte functionaliteit omvat, dat er moederborden zullen zijn met slechte UEFI firmware die dit niet goed ondersteunt. En juist die moederborden zullen updates nodig hebben.

Als dit proces wel slaagt, dan is er niets aan de hand tot het moment dat je ooit de UEFI zou moeten resetten en de 'default platform keys' weer opnieuw in zou willen laden. Dan worden namelijk de oude certificaten die in de UEFI firmware ingebakken zitten terug geregistreerd.
Om ook die te vervangen met de nieuwe certificaten heb je wel persè een firmware update vanuit de fabrikant v/h moederbord nodig.


Een boel van de recente opstartproblemen met Windows 11 alsmede het voorval waarbij 'per ongeluk' om de Bitlocker recovery key gevraagd is, zou onder de kap allemaal wel eens terug te leiden zijn naar MS die mondjesmate al bezig is deze updates uit te rollen.

Hiervoor houdt telemetrie omtrent SecureBoot een confidence indicator bij die aangeeft hoeveel vertrouwen er is dat op jouw specifieke hardwareomgeving een update van de SecureBoot certificaten zou slagen.
Dat komt overigens ook in de Windows event logs terecht. Onder eventId 1801. Als Microsoft er veel vertrouwen in heeft dat het zou moeten werken zal in die log 'Highly confident' staan.


Nog meer informatie kun je vinden op:
https://techcommunity.mic...-expiring-in-2026/4469235


Overigens - het feit dat MS waarschuwt voor het verlopen van het certificaat en dat het daarmee onmogelijk wordt om nog veilig met Secureboot te booten is onzin.

Secureboot verifieert de expiratiedatum v/d sleutel tegen de signeerdatum van de bootloader. Als de bootloader gesigneerd is voordat het certificaat vervallen is, is er geen enkel probleem.

Als ultieme failsafe kan MS voordat de sleutels verlopen nog een bootloader signeren die de optie open houdt om in de bootloader zelf de nieuwe certificaten onder te brengen en middels deze bootloader de signering van een andere bootloader te controleren, en deze dan te chain-booten.

Chaining van bootloaders is de normaalste zaak v/d wereld. Gewoongoed met Linux als je een dual boot met Windows op wilt zetten, bijv. En het is ook hoe verreweg de meeste Linux distros die SecureBoot ondersteunen, werken. Zij maken al gebruik van een basis bootloader die door Microsoft gesigneerd is en die een andere bootloader kan chain-booten.

[Reactie gewijzigd door R4gnax op 10 februari 2026 21:09]

Reageer
Soldaatje @R.G10 februari 2026 21:34
In Linux, installeer pakket efitools, in terminal type in efi-readvar. Als daarin staat onder KEK en DB Microsoft......CA 2023 dan is het goed.
Reageer
oef! @R.G10 februari 2026 20:51
Mijn Windows 11 event manager vertelt het me nu al in system log. Is een gigabyte bord.
Reageer
EricJH @R.G10 februari 2026 21:38
Je kunt het vinden in dit Microsoft Artikel onder Device testing using registry keys. Als je deze stappen volgt dan dwing je het updaten van het certificaat af; normaal start het als Taak die iedere 12 uur wordt uitgevoerd.
Reageer
BounceMeister 10 februari 2026 21:11
Dat wordt best problematisch met alle niet tech-savvy gebruikers die een systeem van meer dan enkele jaren oud hebben. Want updates ga je dan waarschijnlijk niet meer krijgen.
Reageer
R4gnax
@BounceMeister10 februari 2026 21:30
Uit alles inzake de Windows 10 -> 11 migratie en zwaar gepushte hardware-vereisten blijkt al dat Microsoft dat aan hun spreekwoordelijke reet kan roesten.

Sailliant detail trouwens: Microsoft eigen troubleshooting guidance merkt op dat als het updaten van de certificaten faalt, je nog steeds toegang tot je systeem zult behouden door gewoon SecureBoot uit te zetten.

En dat is guidance die geldt voor zowel Windows 10 als voor Windows 11.
Dus tot dusverre de mythe dat zij SecureBoot echt absoluut noodzakelijk gaan maken.

[Reactie gewijzigd door R4gnax op 10 februari 2026 21:32]

Reageer
m_snel @BounceMeister10 februari 2026 21:34
Volgens mij moest ik dat gewoon uitzetten na een niet ondersteunde update naar Windows 11.
De installatie had die blijkbaar in de bios aangepast, en kon er geen boot device meer gevonden worden.
Reageer
AttiX 10 februari 2026 20:46
Met powershell kun je controleren of de certificaten zijn bijgewerkt. Hier een handleiding:

https://directaccess.richardhicks.com/2025/12/04/windows-secure-boot-uefi-certificates-expiring-june-2026/

[Reactie gewijzigd door AttiX op 10 februari 2026 20:48]

Reageer
Buitenaerts @AttiX10 februari 2026 21:15
Die van mij is nog niet up to date zie ik :)

Issued : 24-6-2011 22:41:29
Expires : 24-6-2026 22:51:29

Ben benieuwd wanneer dit gedaan gaat worden.
Reageer
TheDeeGee @AttiX10 februari 2026 21:35
Script werkt helaas niet na installatie.

Als ik .\Get-UEFICertificate.ps1 invoer krijg ik een melding die command niet bestaat.

Zal Secure Boot wel uitzetten, speel toch geen games die het nodig hebben.

[Reactie gewijzigd door TheDeeGee op 10 februari 2026 21:36]

Reageer
jaquesparblue 10 februari 2026 20:48
Los van dat natuurlijk weer een waardeloos systeem is, want waarom worden er niet gewoon routine-matig geupdate certificaten uitgegeven? Lijkt de hele heisa om niks, want het loopt gewoon via Windows Update en je PC wordt niet gebrickt ofzo als je te laat bent.

Behalve dan dat Win10 users genakt worden.
Reageer
R4gnax
@jaquesparblue10 februari 2026 22:19
Los van dat natuurlijk weer een waardeloos systeem is, want waarom worden er niet gewoon routine-matig geupdate certificaten uitgegeven?
Deze certificaten moeten in UEFI Flash memory weggeschreven worden.
En dat is (vaak) dusdanig eindig schrijfbaar dat het nog relevant is.

[Reactie gewijzigd door R4gnax op 10 februari 2026 22:20]

Reageer
paulwump 10 februari 2026 20:48
Al die miljoenen gebruikers die niet weten dat ze een biosupdate moeten doen..
Reageer
Whizzy 10 februari 2026 20:43
Dus.. gamers die nog op windows 10 zitten icm games die secure boot vereisen zijn zowieso de sjaak. Geniet er nog maar een paar maanden van..
Reageer
Ablaze @Whizzy10 februari 2026 20:53
Secure boot is geen vereiste, er gebeurt meestal niets bijzonders als je dat uitzet.
Reageer
R4gnax
@Ablaze10 februari 2026 21:26
Moderne anticheat oplossingen vereisen zowel TPM 2.0 als SecureBoot en weigeren om door die anticheat beschermde games op te laten starten als deze niet beschikbaar zijn.
Reageer
Ablaze @R4gnax10 februari 2026 21:51
Dat soort games moet je gewoon niet omarmen. Kernel level access geven aan software voor games is een serieus beveiligingsrisico. Iedereen weet bovendien dat W10 eindig is en de trend is Linux. Daar werken dat soort ingrijpende applicaties gelukkig helemaal niet.
Reageer
R4gnax
@Ablaze10 februari 2026 22:18
Ben ik met je eens. Maar je reageert op een post die het expliciet over games heeft die het vereisen. En je reageerde daar stellig op met "dat vereisen ze niet."
Reageer
Mizgala28 @Ablaze10 februari 2026 21:11
Precies, ik speel geen games die secure boot vereisen, en ik kreeg de update naar Windows 11 aangeboden in oktober.

Maar mijn Secure Boot staat gewoon uit, in ieder geval op mijn desktop (want dat is de default instelling van mijn moederbord).
Reageer
iqcgubon @Ablaze10 februari 2026 21:15
Buiten dan dat sommige games dan niet meer werken omdat het wel degelijk een vereiste is voor hun brakke anti-cheat?
Reageer
R4gnax
@Whizzy10 februari 2026 21:11
Nee. De bestaande Windows 10 bootloader blijft gewoon werken. SecureBoot checkt niet tegen de huidige computer klok. (Natuurlijk verifieert deze niet tegen de huidige computer klok. Hoe zie je dat voor je, als die klok te manipuleren is?)

SecureBoot verifieert eerst de digitale ondertekening van de bootloader tegen de beschikbare certificaten, ongeacht, ongeacht verloopdatum van die certificaten, en waar de ondertekening matcht, checkt SecureBoot ook of de signeerdatum - die dus cryptografisch beveiligd is door datzelfde procedè - binnen de uitgifte- en verloopdatum van het matchende certificaat ligt.

SecureBoot blijft dus gewoon werken.
Je kunt alleen geen nieuwere versie van de bootloader meer krijgen.

Waardoor Microsoft andere, nieuwere, security problemen met de bootloader niet meer voor je op kan lossen. Afgezien van workarounds zoals vlak voor het verlopen van de certificaten nog een nieuwe bootloader bakken die zelf de certificaatverificatie kan afhandelen op een andere bootloader en deze bootloader kan chain-booten.

[Reactie gewijzigd door R4gnax op 10 februari 2026 21:18]

Reageer
readefries @Whizzy10 februari 2026 20:54
Niet perse, het hangt van de fabrikant van je laptop of pc af. MS heeft deze nieuwe CA al een tijd geleden uitgegeven, dus fabrikanten hebben al zeker twee jaar de tijd om er iets aan te doen
Reageer
Cobalt 10 februari 2026 20:50
Ik denk dat een hoop hardware van 2011 tot 2026 gaat sneuvelen. Waarbij mensen niet weten dat er een bios update is of de fabrikant geen bios update heeft voor oude hardware
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq