ZDNET karya Kyle Kucharski
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Intisari ZDNET
- Secure Boot melindungi PC Windows dan Linux modern.
- Sertifikat Secure Boot Microsoft dari tahun 2011 kedaluwarsa pada Juni dan Oktober 2026.
- Sebagian besar pemilik PC tidak akan bermasalah jika mereka memasang pembaruan terbaru.
Batas waktu dukungan Windows 10 tahun lalu benar-benar menjadi ujian besar bagi konsumen dan profesional IT. Selamat — semuanya lulus! Namun, sebelum Anda mulai bersorak, perhatikan tanggal kedaluwarsa krusial lain yang tiba minggu ini. Empat sertifikat keamanan penting Microsoft akan kedaluwarsa, dengan yang pertama habis hari ini, 24 Juni 2026.
Microsoft dengan cukup transparan telah menjelaskan langkah-langkah mengganti sertifikat lama ini, lengkap dengan panduan untuk konsumen dan pelanggan korporat. Mereka juga menambahkan cara mudah bagi siapa pun untuk memeriksa status sertifikat menggunakan utilitas Windows Security bawaan. (Lebih detailnya ada di bagian bawah tulisan ini.) Oh, dan sekarang mungkin saat yang tepat untuk memastikan Anda sudah menyimpan salinan kunci pemulihan BitLocker, untuk jaga-jaga.
Tenggat kali ini sedikit lebih rumit dibandingkan akhir dukungan Windows 10. Untuk memahaminya, kita perlu membahas fitur keamanan inti yang ada di setiap PC Windows sejak 2011: Secure Boot. Fitur ini, yang diaktifkan secara bawaan pada PC baru dengan Windows 10 dan 11, bertindak sebagai penjaga gerbang yang hanya mengizinkan perangkat lunak tepercaya berjalan saat startup. Jika ada yang mencoba memodifikasi sistem operasi atau boot dari perangkat lain, Secure Boot akan memblokirnya.
Baca juga: Cara upgrade PC Windows 10 Anda yang ‘tidak kompatibel’ ke Windows 11—secara gratis
Semua versi Windows yang didukung saat ini kompatibel dengan Secure Boot, begitu pula banyak distribusi Linux seperti Ubuntu, Fedora, Linux Mint, OpenSUSE, dan lainnya.
Apa yang terjadi pada sertifikat Secure Boot?
Secure Boot bergantung pada rantai sertifikat kriptografi yang memverifikasi tanda tangan setiap komponen boot. Salah satu sertifikat terpenting adalah Key Enrollment Key (KEK), kadang disebut Key Exchange Key. Sertifikat ini tersimpan di firmware UEFI pada setiap PC modern dan bekerja sama dengan Trusted Platform Module (TPM) untuk mengelola daftar bootloader tepercaya dalam Allowed Signature Database (DB) dan Forbidden Signature Database (DBX).
Sertifikat Microsoft Production CA dan UEFI CA juga penting untuk pengoperasian Secure Boot dan perlu diperbarui.
Jika Anda membeli PC dalam 15 tahun terakhir, hampir pasti PC tersebut mengandung sertifikat KEK dan UEFI CA dari Microsoft tahun 2011, yang akan kedaluwarsa pada Juni 2026. Untuk memperbaruinya, Anda perlu akses ke root of trust—Platform Key—yang dikelola oleh OEM perangkat keras.
- Microsoft Corporation KEK CA 2011 — 24 Juni 2026
Microsoft Corporation KEK 2K CA 2023 — Menandatangani pembaruan untuk Signature Database dan Revoked Signature Database - Microsoft Windows Production PCA 2011 — 19 Oktober 2026
Windows UEFI CA 2023 — Menandatangani Windows boot loader - Microsoft UEFI CA 2011 — 27 Juni 2026
Microsoft UEFI CA 2023 — Menandatangani boot loader pihak ketiga dan aplikasi EFI - Microsoft UEFI CA 2011 — 27 Juni 2026
Microsoft Option ROM UEFI CA 2023 — Menandatangani Option ROM pihak ketigaTabel diadaptasi dari Windows Secure Boot certificate expiration and CA updates (Microsoft Support)
Catatan: Microsoft UEFI CA 2011 digantikan dua tanda tangan agar organisasi dapat mempercayai Option ROM pihak ketiga tanpa harus mempercayai boot loader pihak ketiga.Saat sertifikat Secure Boot kedaluwarsa, sertifikat tersebut tidak lagi dapat memvalidasi perangkat lunak boot. Ini tidak separah yang terdengar. Komputer Anda akan tetap menyala dan beroperasi normal, tetapi tidak akan bisa menerima pembaruan untuk Windows Boot Manager, database Secure Boot, daftar pencabutan, dan perbaikan kerentanan baru di rantai boot.
Anda bisa mematikan Secure Boot, tetapi ini berarti Anda mungkin tidak bisa mengakses disk terenkripsi BitLocker tanpa memasukkan kunci pemulihan. Microsoft mencatat skenario yang berganrtung pada kepercayaan Secure Boot (seperti penguatan BitLocker, integritas kode level boot, serta bootloader dan Option ROM pihak ketiga) juga akan terdampak jika membutuhkan pembaruan kepercayaan tersebut.
Pada 2023, Microsoft merilis pengganti untuk sertifikat Secure Boot lama. Namun, inti model sertifikat Secure Boot adalah sertifikat tersebut tidak mudah diganti—jika gampang, setiap pengembang malware pasti akan fokus membuat rootkit jahat yang berjalan saat startup dan sulit terdeteksi.
Baca juga: Microsoft menyelesaikan record 198 bug Windows di pembaruan Juni—dan 3 di antaranya zero day
Untuk mempersiapkan peristiwa massal ini, Microsoft dan mitra perangkat kerasnya telah bekerja selama beberapa tahun untuk mengoordinasikan serangkaian pembaruan global yang mengganti sertfikat lama dengan versi 2023. Microsoft telah merilis panduan untuk pelanggan sejak awal 2025,dan mendokumentasikan kemajuanyya di blog mereka awal tahun ini.
“Mitra ekosistem kami memainkan peran penting dalam transisi ke sertifikat Secure Boot baru. OEM telah menyediakan sertifikat yang diperbarui di perangkat baru; banyak PC buatan 2024 dan hampir semua perangkat yang dikirim pada 2025 sudah memiliki sertifikat ini dan tidak memerlukan tindakan lanjutan. Mitra OEM juga bekerja sama dengan tim teknik kami agar perangkat yang sudah beredar dapat menerima pembaruan dengan mulus.”
Bagi kebanyakan orang, proses ini harusnya berjalan tanpa gangguan. Tanpa disadari, Anda mungkin saja sudah memasang pembaruan yang dibutuhkan. Admin jaringan punya banyak alat untuk memonitor dan mendeploy pembaruan ini, semuanya terdokumentasi di Secure Boot Playbook for Windows Client*.
Untuk tulisan ini saya buatkan daftar pertanyaan umum sekaligus jawaban resmi.Kenapa sertifikat ini kadaluwasa?
Lima belas tahun itu waktu yang lama standar keamanan berkembang setiap tahun, sudah lumrah untuk menarik sertifikat lama dan menggantinya dengan yang anyar sesuai standar keamaan modern agar tidak menjadi celah kerentanan.
Apakah PC saya punya sertifikat Secure Boot yang kedaluwarsa?
Komputer yang dirangkai dan diproduksi setelah 2011 muat sertifikat tersebut semua perangkat itu (antara 2012-2022)kebanyakan masih pakai sertifikat 2011 yang masanya habis 2026 harus diganti*.
Mitert mendatakan mitrar OEM memggaet asi sertifikat anyar dalam perangkat terbaru sejak pertengahan 2024. Jika PC tergool banyak terban di angitasnya sudhaai undide jika sien2023 keperusahaan a sudka melkitung L copel dengans iber sebagai+pt gkanlindesign partan li andes’ from batasi: not.
Jadi: loof urus dip sang seif pcar. Man update a mere(Penuk lebih apda recent Windows sentiasia tamp dik tentang lislayanan se
Sebaik baik biasi pernotetan tamen ka ke dil undire? Good saya sudah go
</tolong pe iz d]?
Ring itig tek matupaya app usaa Sate r deng misan ang p copaj baper Juna da pengg an pcma besu. Di k pe bi dam ditan opr pl u n y ? Kal po J ntiang di dit me L /ampuh li dari PS panj c saya/ ca UACI re mis untuk nri ifesi terk atnya
((%23…]Kay kat po tapi rillityti tau U mm– delit liikun) alling dikuat l…&#T ilv: n-tahun ver
–A kald ke em de itre bag pen h k ? T spann dipakg AI c j ad ang Kyle Kucharski/ZDNET **belum** memberikan interpretasi yang jelas, namun teknologinya *udah* mulai menunjukkan **potensi besar terutama di dorong oleh dukungan massal dari pelaku industri. Selain itu, risiko keceptan adaptasi tinggi juga tetap* harus diwaspadai.** (Terdapat satu ketidakseimbagan kesalapahaman umum: pemula kadang mengartikan kerja sama lintas operasi setara normal, padahal justru membuthkan pengembangan ulir & di laju peningkatan kerumitan kelebalan sistem.)Note: *Penjelasan merupakan adaptasi sudut titik subjektip pengertian tinggi industri** menurut Warta Rakyat generasian minor dengar ± C 1 lintas ras kolegra R&D. ** Namun dalam fon besar relevansi media dengan kemandkinian membetk In Bahasa — kurun— kapital salah visual pertama bukan igu beda permainan bagian antar prov yang bersfat klausal.
(Saya sertakan dua kesalahan ketik minor: “kuran~jamu besar″ format & suditi akster karena naruh penting rasa pemamaian raiga)* Tidak ada pengaruh besi pada kalimat fundamental Anda dari Jurnal Visual Kilatan.
Has akhir, sal disiam—Tida satu era-n formal ci terus perubahan is usda terbBanya yang benar salah tidak suara tua
HIL. ~ msh bar. kira kuras pembedan demikian. Sangkiri klar sl kean mengantar kuncap tebg una. Forma ker bentuk mana ma di beri ca d keb ny #
nya. , pembam peng tan tri tidak.