Secure Boot-certificaten verlopen in 2026: wat verandert er?

Halverwege het jaar verlopen de oude Secure Boot-certificaten van Microsoft. De Windows-beveiligingsapp toont de update-status.

De eerste Secure Boot-certificaten van Microsoft verlopen vanaf juni 2026, met directe gevolgen voor de opstartketen als systemen niet tijdig worden bijgewerkt. Op desktops worden nieuwe certificaten gefaseerd via updates uitgerold. In server- en enterprise-omgevingen moeten beheerders zelf ingrijpen. Microsoft voegt daarom statusinformatie toe aan de Windows-beveiligingsapp, zodat zichtbaar wordt of een systeem de certificaatupdate heeft ontvangen.

Microsoft heeft de komende app-update aangekondigd in het Message Center van de Windows Release Health-notities. Een groene, gele of rode markering bij het pictogram Veilig opstarten moet dan aangeven of er actie nodig is. Meer details staan in een ondersteuningsartikel van Microsoft.

Op beheerde systemen schakelt Microsoft de uitbreidingen voor Secure Boot-certificaten standaard uit. Op servers start de Windows-beveiligingsmeldingsservice niet automatisch. Als beheerders hier informatie willen zien, moeten ze dit eerst inschakelen. Dat kan door de registersleutel HideSecureBootStates aan te maken onder:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security

Met de waarde ‘0’ toont de app de status van de Secure Boot-certificaten, met ‘1’ wordt de weergave uitgeschakeld. Als de vermelding ontbreekt, gebruikt Windows de standaardinstelling.

In de eerste fase beperkt Microsoft zich tot een minimale statusindicatie bij Apparaatbeveiliging (te vinden in de Instellingen onder Privacy en beveiliging → Windows-beveiliging → Apparaatbeveiliging): een groene of gele melding. Geel staat voor ‘Let op’, maar kan door de gebruiker eenvoudig worden weggeklikt, waarna de status als groen wordt weergegeven.

De functionaliteit verschijnt gefaseerd via updates. Voor Windows 11 (vanaf 23H2) en Windows Server 2025 gebeurt dat per 8 april 2026 via een app-update. Windows 10 (vanaf 22H2) en Windows Server 2019/2022 volgen op 14 april via de cumulatieve update, vermoedelijk in het kader van Patch Tuesday.

Fase 2 breidt dit uit met expliciete meldingen wanneer ingrijpen vereist is of wanneer Secure Boot niet correct functioneert. De gele status kan genegeerd blijven; bij een kritieke rode status introduceert Microsoft de optie om waarschuwingen uit te schakelen via ‘Ik accepteer de risico’s’.

De uitrol volgt opnieuw in twee sporen: Windows 11 en Server 2025 ontvangen de app-update op 16 mei 2026. Windows 10 en Server 2019/2022 volgen via de cumulatieve update van 13 mei, in lijn met Patch Tuesday.

De Windows-beveiligingsapp is toegankelijk via het startmenu of via Instellingen onder Privacy en beveiliging → Windows-beveiliging. Klik je vervolgens op Apparaatbeveiliging, dan verschijnt het onderstaande scherm. De relevante statusmelding staat in de sectie Beveiligd opstarten.

Microsoft is eind juni 2025 begonnen IT-verantwoordelijken en Windows-gebruikers voor te bereiden op de noodzakelijke vervanging van Secure Boot-certificaten. Daarbij sprak het bedrijf van de eerste grootschalige, wereldwijde update van dit type.

De bijgewerkte certificaten worden inmiddels via afzonderlijke Windows-updates verspreid en sinds de preview-updates van februari ook meegenomen in de reguliere Patch Tuesday-cyclus.

De vervanging van de certificaten is geen cosmetische ingreep, maar noodzakelijk om de vertrouwensketen van Secure Boot intact te houden. Met name in beheerde omgevingen vraagt dit om tijdige voorbereiding en expliciete configuratie, zodat de status en bijbehorende risico’s controleerbaar blijven.