Microsoft telah mengeluarkan peringatan penting terkait masa berlaku sertifikat Secure Boot yang akan habis pada pertengahan tahun 2026. Sertifikat yang pertama kali diterbitkan pada 2011 ini merupakan komponen utama yang digunakan oleh Windows untuk memastikan keamanan proses booting perangkat. Jika tidak diperbarui dengan benar, perangkat dapat mengalami masalah keamanan dan kehilangan kemampuan menerima pembaruan keamanan bootloader.
Masa Berlaku Sertifikat Secure Boot 2011 dan Dampaknya
Sertifikat Secure Boot yang diterbitkan Microsoft pada 2011 akan mulai kedaluwarsa pada akhir Juni 2026. Secara spesifik, tanggal kedaluwarsa sertifikat utama pertama jatuh pada 24 Juni 2026 (Microsoft Corporation KEK CA 2011), diikuti dengan tanggal 27 Juni 2026 (Microsoft Corporation UEFI CA 2011), serta satu sertifikat penting lainnya yang berakhir pada 19 Oktober 2026 (Microsoft Windows Production PCA 2011). Sertifikat ini berfungsi sebagai “akar kepercayaan” yang memungkinkan Secure Boot memverifikasi integritas perangkat lunak booting pada sistem berbasis UEFI.
Sistem yang gagal melakukan transisi ke rantai sertifikat baru tahun 2023 akan memasuki kondisi "degraded security" atau keamanan yang menurun. Kondisi ini menyebabkan perangkat kemungkinan tidak dapat menerima pembaruan lebih lanjut terkait Secure Boot maupun perbaikan keamanan untuk bootloader Windows. Situasi ini membuka celah bagi ancaman seperti bootkit, yakni malware yang menginfeksi lapisan boot perangkat sebelum sistem operasi dimulai.
Peran Windows dan Firmware dalam Proses Transisi Sertifikat
Microsoft telah mulai memperkenalkan pembaruan Secure Boot certificate chain 2023 sejak beberapa update Windows mulai Februari tahun ini. Misalnya, pembaruan KB5036210 memungkinkan sistem operasi Windows menyisipkan sertifikat baru ke dalam database kunci Secure Boot (Allowed Signature Database atau db). Proses ini penting agar Windows dapat menerima update bootloader yang akan datang.
Namun, Microsoft menegaskan bahwa keberhasilan pembaruan ini bergantung pada perangkat firmware UEFI untuk menerima dan menyimpan sertifikat baru. Jika firmware tidak kompatibel atau belum diperbarui oleh vendor OEM, proses pembaruan bisa gagal dan perangkat akan tetap berada di kondisi keamanan menurun.
Kritisnya Peran Vendor OEM dan Firmware dalam Pembaruan
Vendor perangkat keras, termasuk Dell, Lenovo, HP, dan Asus, memiliki tanggung jawab besar untuk memastikan firmware mereka kompatibel dengan sertifikat Secure Boot baru. Dell menjelaskan perbedaan antara database kunci Secure Boot aktif yang diubah Windows Update dan database default yang disimpan di firmware sebagai referensi setelah reset pabrik. Dell juga memperingatkan bahwa tindakan seperti mengaktifkan “Expert Key Mode” dapat menghapus kunci aktif jika database default firmware belum diperbarui.
Dell telah memakai strategi pengiriman ganda sertifikat 2011 dan 2023 sejak akhir 2024 pada produk baru. Lenovo dan HP menawarkan firmware update yang menambahkan kunci sertifikat 2023 ke default Secure Boot variables. Asus menyediakan panduan langkah-langkah bagi pengguna yang merakit sendiri komputer agar dapat mengecek dan memperbarui kunci Secure Boot secara manual.
- Cek pada menu UEFI apakah terdapat entri “Microsoft Corporation KEK 2K CA 2023” di key exchange key (KEK).
- Pastikan terdapat “Windows UEFI CA 2023” dalam database kunci tangan (db).
- Jika tidak ada, lakukan opsi “Install Default Secure Boot Keys” atau “Restore Factory Keys” setelah update BIOS.
Strategi Monitoring dan Rekomendasi dari Microsoft
Microsoft menyediakan alat monitoring bagi organisasi IT untuk memastikan pembaruan sertifikat berjalan sukses. Beberapa indikator yang bisa diaudit meliputi Event ID 1808 sebagai tanda berhasil menerapkan sertifikat baru, dan Event ID 1801 menandai kegagalan. Selain itu, registry key bernama UEFICA2023Status harus menunjukkan status “Updated” untuk mengonfirmasi keberhasilan, sementara UEFICA2023Error harus tidak ada kecuali terdapat masalah.
Microsoft juga menegaskan perlunya melakukan pembaruan firmware OEM terlebih dahulu sebelum menerapkan pembaruan Secure Boot melalui Windows Update. Langkah ini penting agar kondisi firmware mendukung perubahan konfigurasi Secure Boot.
Implikasi untuk Pengguna Windows 10 dan Sistem DIY
Pengguna Windows 10 perlu mencermati bahwa dukungan resmi Microsoft untuk versi ini berakhir pada Oktober 2025. Setelah itu, pembaruan keamanan hanya dapat diperoleh lewat program Extended Security Updates (ESU) berbayar. Perangkat yang tidak mendapatkan update Windows secara resmi tidak akan memperoleh jenjang pembaruan Secure Boot yang baru.
Sementara itu pengguna PC rakitan atau motherboard gaming yang tidak mendapat update firmware dari vendor bisa menghadapi tantangan lebih besar. Mereka harus melakukan pengecekan dan pembaruan kunci Secure Boot secara manual untuk menghindari masalah keamanan boot.
Pemahaman menyeluruh atas perubahan sertifikat Secure Boot ini penting agar perangkat Windows tetap terlindungi dari ancaman keamanan boot. Kolaborasi antara Microsoft dan vendor OEM memastikan ekosistem Windows dapat berubah dengan mulus tanpa mengorbankan keamanan perangkat pengguna.
