Časovna bomba Secure Boot: iztekajoča potrdila in tiha ločnica med starimi in novimi PC-ji

10. februar 2026
5 min branja
Zaslon BIOS z nastavitvami Secure Boot na namiznem računalniku

Naslov in uvod

Večina uporabnikov računalnikov nikoli ne pomisli, da imajo njihovi PC-ji vdelano časovno bombo v firmwareu. Toda letos junija se zgodi prav to: izteči se začnejo izvorna Secure Boot potrdila, ki od časov Windows 8 varujejo zagon sistema Windows. Če bo vse šlo dobro, ne boste opazili ničesar. Če pa ne, se bodo pojavile nenavadne napake pri nadgradnji ali celo pri zagonu novejših operacijskih sistemov. V nadaljevanju ne bomo ponavljali Microsoftovih navodil, temveč analizirali, kdo bo v Sloveniji in širši regiji dejansko moral ukrepati – in kaj nam ta epizoda pove o staranju računalnikov.

Novica na kratko

Kot poroča Ars Technica, Microsoft opozarja, da se bodo prvotna potrdila za Windows Secure Boot, izdana okoli leta 2011 za UEFI računalnike, začela iztekati junija 2026, z dodatnimi datumi v oktobru.

Ta potrdila predstavljajo osnovo zaupanja, s katero firmware preveri zagonski nalagalnik. Čeprav je bil Secure Boot pri Windows 8 in 10 bolj priporočilo kot zahteva, je z Windows 11 postal obvezen.

Microsoft nove, »2023« potrdilne verige večinoma razpošilja prek Windows Update. Pri številnih sistemih je bil zapis v UEFI pomnilnik NVRAM izveden že v ozadju. Novejši PC-ji imajo posodobljeno strojno programsko opremo (BIOS/UEFI), kjer so nova potrdila že vključena.

Če računalnik posodobitve ne prejme, bo obstoječi operacijski sistem sicer še deloval, dolgoročno pa tak sistem ne bo mogel dobiti novih popravkov za Secure Boot oziroma zagnati bodočih operacijskih sistemov, ki bodo zanašali izključno na nova potrdila.

Zakaj je to pomembno

To ni še en običajen Patch Tuesday. Secure Boot potrdila so na samem dnu verige zaupanja osebnega računalnika. Ko potečejo, se nič ne sesuje čez noč – nastane pa strop, čez katerega se ta naprava ne bo mogla varno razvijati.

Posledice lahko strnemo v tri sklope:

  1. Varnostna omejitev: Sistemi, ki ostanejo na starih potrdilih, ne bodo mogli prejeti novih mitigacij za prihodnje ranljivosti na ravni zagona. Napadi na firmware in UEFI so vse pogostejši, še posebej zato, ker so pod radarjem klasičnega antivirusnega programa.
  2. Ovire pri prihodnjih OS-ih: Novi Windows (in drugi sistemi, ki uporabljajo Secure Boot) bodo postopno predpostavljali prisotnost novih potrdil. Starejše naprave, ki jih ne bodo imele, bodo lahko zavrnile zagon namestitvenih medijev ali jeder, četudi je strojna oprema še dovolj zmogljiva.
  3. Operativna kompleksnost: Organizacije z več sto ali tisoč računalniki – od občin in šol do podjetij – bodo morale ugotoviti, katere naprave imajo dejansko posodobljene ključe, in za preostale načrtovati posodobitev firmwarea.

Kdo ima korist? V prvi vrsti vsi, ki jim je mar za utrjen zagonski proces: Microsoft, proizvajalci in končni uporabniki, ki dobijo boljšo zaščito pred napadi na firmware. So pa tudi poraženci:

  • Lastniki starejših, a še povsem uporabnih PC-jev, ki od proizvajalca ne dobijo več BIOS posodobitev.
  • Organizacije z omejenimi ali ročno upravljanimi posodobitvami, kjer je Windows Update delno ali v celoti izklopljen.

V ozadju se skriva širše vprašanje: koliko časa pričakujemo, da bo računalnik ostal »prvovrsten« državljan v varnostnem ekosistemu? Ta zamenjava potrdil precej jasno potegne črto med »starimi« in »novimi« PC-ji.

Širša slika

Podoben scenarij smo že videli na višjih plasteh interneta. Ko so pred časom potekla nekatera korenska TLS potrdila (npr. pri Let’s Encrypt), so starejši telefoni, TV-ji in vgrajene naprave začeli na videz naključno odpovedovati pri dostopu do spletnih storitev. Izkazalo se je, da zelo radi uporabljamo dolgožive naprave, hkrati pa temeljimo na kriptografskih sidriščih, ki imajo rok trajanja.

Zdaj se ista napetost seli v firmware.

Microsoft je v zadnjem desetletju postopno zaostril nadzor nad zgodnjo fazo zagona: od uvedbe Secure Boot pri Windows 8, do strožjih privzetih nastavitev v Windows 10 in nato zahteve po TPM 2.0 ter Secure Boot pri Windows 11. Na strojni strani imamo t. i. »Secured-core« PC-je z bolj zaklenjenim firmwareom in merjenim zagonom. Zamenjava potrdil je še ena opeka v tem zidu.

Napadi na UEFI niso več teoretični. Raziskovalci in varnostne agencije so že zaznali zlonamerno kodo, ki se ugnezdi v firmware, kriminalne združbe pa eksperimentirajo z obstojnimi napadi na ravni zagonskega nalagalnika. Z vidika varnosti je deset let staro potrdilo za osnovo celotnega Windows ekosistema enostavno preveliko tveganje.

To pa ponovno odpira tudi staro dilemo odprtost proti zaklepu ekosistema. Secure Boot je bil vedno problematičen za Linux skupnost, ki se upravičeno boji, koliko moči imajo Microsoft in OEM-i nad tem, kaj se sploh sme zagnati na nekem PC-ju. Če se zamenjave potrdil izvede površno, lahko to onemogoči dual-boot postavitve ali nišne operacijske sisteme ter uporabnikom oteži lastni nadzor nad strojno opremo.

Zato ta dogodek ni le »vzdrževalna« epizoda. Kaže smer, v katero gredo PC-ji: bolj podobni pametnim telefonom, kriptografsko vezani na dobaviteljev ekosistem, pri čemer sta varnost in življenjska doba neločljivo povezani z odločitvami v Redmondu in pri proizvajalcih.

Evropski in slovenski kot

Za Evropo, in s tem tudi za Slovenijo, ta rok prihaja v času, ko se regulativa in praksa premikata proti večji kibernetski odpornosti.

Direktiva NIS2 ter prihajajoči Akt o kibernetski odpornosti (CRA) od upravljavcev bistvene infrastrukture, javne uprave in številnih podjetij zahtevata, da imajo vzpostavljene procese za varno posodabljanje celotnega življenjskega cikla IT opreme. Prav zamenjava Secure Boot potrdil je učbeniški primer »globoke« posodobitve, na katero je treba misliti, čeprav je uporabnik nikoli ne vidi.

Slovenski kontekst prinaša dodatne posebnosti:

  • Dolga življenjska doba opreme: v javni upravi, šolstvu in manjših podjetjih so 7–10 let stari PC-ji še čisto vsakdanji. Veliko je še vedno naprav, kupljenih v časih Windows 8 ali zgodnjega Windows 10.
  • Konzervativna IT politika: del organizacij ima Windows Update močno omejen ali popolnoma preusmerjen na notranje WSUS/ConfigMgr strežnike. Tam bo treba izrecno preveriti, ali se posodobitev potrdil dejansko širi.
  • Pilotni Linux projekti: v izobraževanju in raziskovalnem okolju je precej dual-boot postavitev. Ravnanje s Secure Boot ključi je pri njih vedno bolj zahtevno, rotacija potrdil pa lahko razkrije slabo dokumentirane prilagoditve.

Z vidika EU politik je Microsoftova poteza skladna s ciljem daljše varne življenjske dobe naprav. A če bo posledica to, da bodo množice še povsem uporabnih računalnikov v slovenskih šolah ali občinah težko dobile sodoben, podprt OS, bo to okrepilo razpravo o načrtovanem zastaranju in vplivu na okolje.

Pogled naprej

Do junija 2026 nas čaka predvsem veliko nevidnega dela.

Za domače uporabnike, ki imajo vklopljen Secure Boot in redno posodabljajo Windows, bo proces verjetno neopazen. Zgodbe bodo prihajale z robov ekosistema:

  • manjša podjetja ali občine, ki bodo leta 2027 ugotovila, da se del flote ne more nadgraditi na novejši Windows, čeprav strojna oprema še »drži«;
  • merilne naprave, medicinski sistemi ali industrijski PC-ji, ki so namenoma brez dostopa do interneta in bodo posodobitev zgrešili;
  • »DIY« namizni računalniki, kjer je bil Secure Boot zaradi težav pri igranju ali namestitvi Linuxa pred leti izklopljen, zdaj pa bi ga radi ponovno vključili.

V slovenskem IT okolju bodo morali biti posebej pozorni:

  • Skrbniki šolskih in občinskih omrežij: treba bo preveriti, ali nadzorovana infrastruktura (WSUS, MDT ipd.) razpošilja tudi posodobitev Secure Boot potrdil.
  • Podjetja z zahtevami po skladnosti (ISO 27001, NIS2): v register sredstev in tveganj je smiselno dodati vidik verige zaupanja pri zagonu in rok trajanja potrdil.
  • Uporabniki, ki načrtujejo prehod na Windows 11 ali kasnejše različice: smiselno je preveriti stanje Secure Boot že danes, ne šele ob nadgradnji.

Največja neznanka je obseg »mrtvih kotov« – sistemov, ki bodo ostali na starih potrdilih, a jih lastniki še vedno potrebujejo v omrežju. Tam se bodo krčili kompromisi med varnostjo, stroški zamenjave in realnimi potrebami poslovanja.

Sklepna misel

Iztek Secure Boot potrdil ni katastrofa, ampak resen preizkus zrelosti PC ekosistema – tudi slovenskega. S tehničnega vidika je rotacija več kot desetletje starih temeljev zaupanja nujna in pravilna. Hkrati pa razgalja, kako malo razmišljamo o firmwareu in kako hitro lahko »nevidna« odločitev proizvajalca potisne sicer dober računalnik čez rob podprte prihodnosti. Vprašanje za prihodnja leta je preprosto: bomo to izkoristili za resnično daljšo, varno življenjsko dobo naprav ali samo še pospešili menjavo strojne opreme?

Komentarji

Pustite komentar

Še ni komentarjev. Bodite prvi!

Povezani članki

DJI potrošniški dron v letu nad pokrajino, posnet od blizu
Tehnologija

DJI proti FCC: ko se nacionalna varnost prelevi v industrijsko politiko

Analiza spora med DJI in ameriško FCC: nacionalna varnost, industrijska politika ter posledice za evropski in slovenski trg dronov.

5 min branja
Logotipi Paramounta, Netflixa in Warner Bros. Discovery na temnem filmskem ozadju
Tehnologija

Paramount proti Netflixu: bitka za WBD, ki bo preoblikovala pretočne storitve tudi za Slovence

Paramount in Netflix se borita za Warner Bros. Discovery. Analiziramo, kako prevzem vpliva na globalni streaming ter na evropski in slovenski trg.

5 min branja
Velik Panasonicov televizor na razstavnem prostoru v trgovini z elektroniko.
Tehnologija

Panasonic prepusti televizorje Skyworthu: konec japonske TV-ere, začetek dobe platform

Panasonic s prenosom TV‑jev na Skyworth zaključuje japonsko TV‑ero in potrjuje premik moči od strojne opreme k platformam, podatkom in regulaciji.

5 min branja

Ostani na tekočem

Prejemaj najnovejše novice iz sveta AI in tehnologije.