BEL 0172 - 754 954 of mail

Alpha beeldmerk
Alpha naam
Tech Insights     
Secure Boot Juni 2026
Dit moet je nu al weten

Secure Boot-certificaten verlopen in 2026

Microsoft heeft een belangrijke mededeling gedaan die je als IT-professional niet wil missen: de oude Secure Boot-certificaten die al jaren stilletjes hun werk doen in bijna elk Windows-systeem, verlopen in juni 2026. En dat is geen papieren formaliteit — als je hier niets mee doet, kunnen je apparaten straks geen updates meer krijgen voor één van de eerste onderdelen die opstarten: de bootloader.

Wat is er aan de hand?

Bij het opstarten van je pc controleert Secure Boot of alles wat geladen wordt — zoals de bootloader — digitaal is ondertekend en dus niet is gemanipuleerd. Die controle vertrouwt op zogeheten certificaten. En precies die certificaten uit 2011 (ja, ze zijn al even mee) worden in 2026 ongeldig.

Microsoft heeft daarom nieuwe certificaten gemaakt, maar die worden niet automatisch actief op alle systemen. En dat is precies het risico: als jouw systeem na juni 2026 nog de oude sleutels gebruikt, stopt Microsoft met het leveren van updates voor onderdelen vóór het besturingssysteem. Denk aan je bootloader of third-party EFI-drivers. Dat opent de deur naar zogenaamde bootkits — kwaadaardige code die actief wordt vóór Windows überhaupt opstart.

Wat betekent dit concreet?

Als je niets doet, gebeurt er niet meteen iets op 1 juli 2026. Maar je mist vanaf dat moment updates die juist bedoeld zijn om kwetsbaarheden in die pre-boot-fase te dichten. En dat is een plek waar traditionele antivirus of Defender niks meer kan uitrichten.

Heb je ooit gehoord van de BlackLotus bootkit? Die maakte begin 2023 duidelijk hoe gevaarlijk zoiets is: het nestelt zich onder Windows, overleeft herinstallaties en werkt volledig buiten je zicht. Precies dit soort aanvallen worden alleen maar relevanter als je systemen op oude sleutels blijven hangen.

Wat moet je nu doen?

Microsoft gaat deze nieuwe sleutels wel verspreiden via Windows Update, maar dat gebeurt alleen als jouw systeem voldoet aan een paar voorwaarden:

  • Windows moet Secure Boot aan hebben staan

  • Je moet updates gewoon via Microsoft ontvangen (dus niet alles via WSUS of third-party tools filteren)

  • Je systeem moet bepaalde diagnostische data toestaan zodat Microsoft weet of jouw apparaat klaar is voor de nieuwe sleutels

Kort gezegd: als je Intune, Autopatch of gewoon Windows Update gebruikt met een standaardconfiguratie, dan ben je waarschijnlijk safe. Microsoft test de update namelijk eerst op systemen die ze volledig kunnen monitoren. Pas later volgt een bredere uitrol.

En wat als je met air-gapped of streng beheerde systemen werkt?

Dan moet je zelf aan de bak. Microsoft stelt PowerShell-scripts beschikbaar waarmee je handmatig de nieuwe certificaten kunt installeren. Daarbij moet je BitLocker tijdelijk pauzeren, mogelijk firmware updaten, en zeker weten dat je back-ups in orde zijn. OEM’s zullen hier ook firmware-updates voor moeten gaan leveren, dus je bent deels afhankelijk van de hardwareleverancier.

TL;DR

  • In juni 2026 verlopen de huidige Secure Boot-certificaten

  • Zonder actie krijg je daarna geen updates meer voor kritieke opstartcomponenten

  • Microsoft vervangt deze sleutels automatisch, maar alleen als je systeem daarvoor in aanmerking komt

  • Voor streng beheerde of geïsoleerde systemen moet je zelf certificaten installeren via PowerShell

  • Nu al beginnen voorkomt stress over een jaar


Onze tip:

Loop dit jaar nog je device fleet na. Draait alles met Secure Boot aan? Krijgen systemen hun updates direct via Microsoft? Zijn je air-gapped omgevingen voorbereid op handmatige updates? Hoe eerder je dit regelt, hoe minder risico je loopt.

Heb je vragen over hoe je dit aanpakt in jouw omgeving — van Intune tot high-secure — neem dan gerust contact op. Bij AlphaNext hebben we dit al op de radar staan voor onze klanten.

Bron: Windows Secure Boot certificate expiration and CA updates - Microsoft Support
Microsoft Message ID: MC1104112