Mulai 24 Juni, jutaan PC Windows menghadapi perubahan penting pada lapisan keamanan paling awal saat sertifikat Secure Boot era 2011 mulai kedaluwarsa. Perangkat yang belum menerima sertifikat pengganti dari 2023 tidak akan langsung berhenti menyala, tetapi mereka akan kehilangan jalur untuk menerima pembaruan keamanan boot di masa depan.
Situasi ini penting karena Secure Boot berperan menjaga integritas proses boot sebelum sistem operasi sepenuhnya berjalan. Jika sertifikat lama habis masa berlakunya tanpa pembaruan yang sesuai, perlindungan di level firmware bisa tertinggal meski Windows masih tetap berjalan normal.
Apa yang kedaluwarsa dan dampaknya
Ada tiga sertifikat yang masuk masa akhir pakai. Microsoft Corporation KEK CA 2011 berakhir pada 24 Juni, Microsoft UEFI CA 2011 pada 27 Juni, dan Microsoft Windows Production PCA 2011 pada 19 Oktober.
Yang paling krusial adalah Microsoft Windows Production PCA 2011 karena sertifikat ini menandatangani bootloader Windows itu sendiri. Itu membuat Oktober menjadi tenggat paling penting untuk menjaga integritas boot dalam jangka panjang.
Microsoft sudah mulai mendorong sertifikat pengganti 2023 lewat Windows Update sejak Januari. Proses itu terus diperluas lewat pembaruan bulanan, termasuk KB5089549 yang dirilis bulan ini.
Apa yang terjadi setelah 24 Juni
PC yang masih memakai sertifikat kedaluwarsa tidak akan berhenti booting. Microsoft menyebut perangkat tersebut tetap bisa menyala normal dan tetap menerima pembaruan Windows standar.
Namun, perangkat itu tidak lagi bisa menerima pembaruan database Secure Boot yang baru, daftar pencabutan sertifikat, dan tambalan untuk kerentanan baru di lapisan boot. Itu berarti ancaman yang menargetkan firmware dapat tetap terbuka jika tidak ada jalur patch yang sesuai.
Kerentanan boot-level seperti BlackLotus memang menyasar lapisan ini. Jika sertifikat sudah kedaluwarsa dan tidak diganti, perangkat kehilangan jalur pembaruan untuk menghadapi ancaman baru di level firmware.
Siapa yang paling berisiko
Pengguna Windows 11 di build yang didukung sedang diproses pembaruannya secara otomatis. Tantangan lebih besar ada pada perangkat keras yang lebih lama dan mesin Windows 10 yang tidak didukung.
Pengguna Windows 10 di luar program Extended Security Updates tidak akan menerima sertifikat baru. Bagi perangkat tersebut, tidak ada jalur remediasi dari 24 Juni ke atas.
Sebagian perangkat lama juga membutuhkan pembaruan firmware OEM yang cocok bersama rollout sertifikat Windows. Alasannya, rantai sertifikat baru harus ditambatkan langsung ke firmware UEFI.
Jika produsen sudah berhenti merilis pembaruan firmware, perangkat bisa tetap bertahan di sertifikat 2011 meski Windows sudah dipasang dan diperbarui. Dalam kondisi itu, update sistem operasi saja tidak cukup untuk memindahkan perangkat ke rantai sertifikat baru.
Cara mengecek status perangkat
Status Secure Boot bisa diperiksa lewat Windows Security, lalu masuk ke Device Security dan membuka bagian Secure Boot. Microsoft juga menyiapkan panduan dukungan KB5062710 untuk menjelaskan arti kedaluwarsa ini dan langkah yang perlu diambil jika pembaruan belum diterapkan.
Microsoft menyarankan pengguna memasang pembaruan terbaru, memeriksa status melalui KB5062710, lalu menghubungi dukungan OEM jika sertifikat 2023 belum दिखाई pada sistem yang sudah sepenuhnya diperbarui. Langkah ini menjadi penting terutama bagi PC yang bergantung pada firmware lama dan dukungan pabrikan yang terbatas.
Source: www.notebookcheck.net-
-
-
-
