Kyberturvallisuuskeskus varoittaa: Windowsin Secure Boot -varmenteet vanhenevat kesäkuussa, päivitykset käynnistystiedostoihin saattavat loppua
Vanhentuvat varmenteet eivät sammuta konetta, mutta käynnistysprosessin paikkaaminen pysähtyy. Suomalaisille kotitalouksille ja pk-yrityksille kysymys on käytännössä siitä, saako oma Windows-laite enää bootkit-haavoittuvuuksien korjauksia.
Tiivistelma
Kyberturvallisuuskeskus muistutti 20.5. siitä, että Microsoftin Secure Boot -varmenteet alkavat vanheta jo kesäkuussa 2026. Vanhentumiset koskevat käytännössä kaikkia vuoden 2012 jälkeen valmistettuja Windows-laitteita ja katkaisevat käynnistystiedostojen turvapäivitykset, jos uusia varmenteita ei oteta käyttöön. Juttu kokoaa konkreettiset toimet sekä kuluttajille että IT-vastuullisille.
Alle kuukauden kuluttua vanhenee se Microsoftin allekirjoitusvarmenne, joka pitää Windowsin käynnistysprosessin turvallisena. Kyberturvallisuuskeskus muistutti tiistaina 20.5., että vanhentumisten sarja koskee käytännössä jokaista vuoden 2012 jälkeen myytyä Windows-konetta Suomessa. Käynnistysprosessin turvapäivitykset katkeavat jokaiselta laitteelta, jolle uusia varmenteita ei asenneta ajoissa.
Kyberturvallisuuskeskus eli Traficomin alainen kansallinen kyberturvallisuusviranomainen kertoo, että koneet eivät lakkaa toimimasta. Riski on hitaampi ja siksi salakavalampi.
– Vaikka laitteet jatkavat toimintaansa, ne eivät enää saa uusia Secure Boot -turvapäivityksiä käynnistysprosessin komponentteihin, KTK toteaa tiedotteessaan.
Mitkä varmenteet vanhenevat ja milloin
Aikataulu jakautuu kolmeen vaiheeseen. Ensimmäisenä, 24. kesäkuuta, vanhenee Microsoft Corporation KEK CA 2011, joka on se avain, jolla Secure Boot -tietokantoja päivitetään.
Kolme päivää myöhemmin, 27. kesäkuuta, vanhenee Microsoft UEFI CA 2011. Tämä varmenne allekirjoittaa kolmansien osapuolten UEFI-komponentit, kuten useimmat Linux-shim-laataajat. Lokakuun 19. päivänä vuorossa on Microsoft Windows Production PCA 2011, joka allekirjoittaa Windowsin Boot Managerin.
Korvaajat ovat olemassa. Korvaajiksi tulee neljä vuoden 2023 sarjan varmennetta: KEK 2K CA 2023, Windows UEFI CA 2023, Microsoft UEFI CA 2023 ja Option ROM UEFI CA 2023. Ne muodostavat uuden luottamusketjun, jonka Windows Update toimittaa laitteen UEFI-tietokantoihin.
Secure Boot (turvattu käynnistys)
Secure Boot tarkistaa jokaisen käynnistyksessä ajetun ohjelmiston allekirjoituksen ja estää tuntemattomien latureiden ajamisen. Varmenteet ovat tämän tarkistuksen perusta. Kun ne vanhenevat, päivitysmekanismi pysähtyy eikä uusia uhkia voi paikata.
Keitä asia koskee
Käytännössä koko Windows-kalusto kotitalouksista konesaleihin. Microsoftin listaus kattaa Windows 10:n ja 11:n kaikki versiot sekä Windows Serverin vuosista 2012 R2 vuoteen 2025.
Kyberturvallisuuskeskus nostaa erikseen esiin riskiryhmät. Vanhat Windows 10 -laitteet, palvelimet, sulautetut järjestelmät ja sellaiset koneet, joille valmistaja ei enää julkaise firmware-päivityksiä, ovat tukalimmassa asemassa. Hallituissa yritysympäristöissä riski on todellinen myös siksi, että keskitetyt päivityskäytännöt voivat estää uusien varmenteiden lataamisen, ellei niitä erikseen sallita.
Suomessa erityishuomio osuu Windows 10:een, jonka virallinen tuki päättyi lokakuussa 2025. Moni kotitalous ja pk-yritys ajaa edelleen kymppiä ilman ESU-tilausta, ja näille koneille varmennepäivitysten ikkuna on ohi heti kun ESU-tilaus puuttuu.
Mikä menee rikki, jos ei toimi
Mutta mitä tarkalleen ottaen pysähtyy? Käynnistys onnistuu vielä senkin jälkeen, kun varmenteet ovat vanhentuneet. Mutta uudet bootkit-haavoittuvuudet, BlackLotuksen kaltaiset ja CVE-2023-24932:n linjaa jatkavat, jäävät paikkaamatta. Help Net Securityn aiemman analyysin mukaan juuri näitä komponentteja vasten BlackLotus-tyyppiset hyökkäykset toimivat.
Secure Bootin peruutuslista DBX ei enää päivity, eli kerran haitalliseksi merkityt latureiden allekirjoitukset voivat palata käyttöön.
BitLocker-kovennukset ja kolmansien osapuolten käynnistyslataajien päivitykset pysähtyvät samaa tahtia.
Linux dual-bootista vastaava lukija ottanee huomioon yhden lisäkulman. Jos firmware-tietokanta ja asennusmedia ovat eri vaiheessa varmennevaihtoa, käynnistys voi pudota shim-kerroksessa.
Miten varmistaa, että oma kone ei jää tähän junaan?
Mitä kotikäyttäjän kannattaa tehdä
Tarkistuksia on neljä, eikä mikään niistä vaadi komentorivin avaamista.
- Pidä Windows Update päällä.
- Asenna laitevalmistajalta tuoreimmat BIOS/UEFI-päivitykset.
- Tarkista Windowsin Suojaus-sovelluksesta Secure Boot -varmenteen tila (rekisteriarvo
UEFICA2023Status). - Varmista, että laite on tuetussa Windows-versiossa.
Mitä IT-vastuullisen kannattaa tehdä
Organisaatioille KTK suosittelee selkeää järjestystä. Ensin laiteinventaario ja firmware-versioiden kartoitus, sitten diagnostic data -keruun ja MicrosoftUpdateManagedOptIn-rekisteriarvon käyttöönotto, jotta Windows Update osaa toimittaa uudet varmenteet hallinnoituihin koneisiin.
OEM-firmware on asennettava ennen Windowsin varmennepäivitystä, sillä joillain laitteilla Platform Keyn vaihto edellyttää firmware-päivitystä ensin. Pilotointi muutamalla laitteella ennen massajakelua säästää selvitystyötä, ja BitLocker-palautusavaimet on syytä varmuuskopioida ennen muutoksia. Sille kalustolle, joka ei enää saa OEM-päivityksiä lainkaan, tehdään erityissuunnitelma – vaihtoehdoiksi jäävät asianmukaisesti kovennettu eristys tai laitteiston uusiminen.
Aikataulu antaa pelivaraa lokakuuhun asti, mutta ensimmäiset takarajat osuvat alle kuukauden päähän. Jää nähtäväksi, kuinka iso osa suomalaisesta Windows 10 -kannasta ehtii uusiin varmenteisiin ennen kesää.