Ak máte počítač s Windowsom 11 a po poslednej aktualizácií sa vám viackrát reštartoval, žiadny strach. Microsoft potvrdil, že toto správanie je zámerné a súvisí s výmenou certifikátov funkcie Secure Boot, ktoré boli vydané ešte v roku 2011 a v júni 2026 im vyprší platnosť. Ide o vôbec prvú výmenu certifikátov Secure Boot v histórii Windowsu v takto veľkom rozsahu, a keďže ide rozsiahly proces, vyžaduje si viacero reštartov aj pri bežných mesačných aktualizáciách, informuje TechRadar.
Portál BleepingComputer potvrdzuje, že Microsoft začal nové certifikáty distribuovať prostredníctvom pravidelných mesačných aktualizácií systému Windows, pričom do procesu sú zapojení aj výrobcovia hardvéru, ktorí poskytujú príslušné aktualizácie firmvéru. Pokojne teda nechajte počítač reštartovať. Je to presne to, čo sa má diať, pričom každý ďalší reštart v tomto prípade len potvrdzuje, že certifikáty boli úspešne nainštalované.
Dobrou správou zároveň je, že celý proces je jednorazový. Pri ďalších bežných aktualizáciách by sa viacnásobné reštarty nemali opakovať.
Čo je Secure Boot a prečo treba nové certifikácie
Secure Boot je bezpečnostná funkcia, ktorá pri štarte počítača overuje, či softvér pochádza z dôveryhodného zdroja. Táto kontrola prebieha ešte pred načítaním samotného operačného systému, čo z nej robí jednu z kľúčových ochranných vrstiev voči takzvaným bootkitom, teda škodlivému softvéru, ktorý by sa bez tejto ochrany mohol spustiť skôr ako Windows a zostať úplne neodhalený bežnými bezpečnostnými nástrojmi.
Secure Boot na overovanie používa kryptografické kľúče, teda certifikáty vydávané s obmedzenou platnosťou, ktoré musia byť priebežne obnovované. Certifikáty vydané v roku 2011 začnú postupne strácať platnosť v júni tohto roku a zariadenia, ktoré ich nevymenia včas, vstúpia podľa Microsoftu do takzvaného „degradovaného bezpečnostného stavu“. To znamená, že nebudú schopné prijímať ďalšie bezpečnostné aktualizácie na úrovni systému.
Microsoft zároveň vysvetľuje, že bez výmeny certifikátov zariadenia po októbri 2026 nebudú dôverovať softvéru podpísanému novými certifikátmi, čo môže spôsobiť komplikácie s ovládačmi od výrobcov hardvéru. Niektoré grafické karty NVIDIA sú podľa príspevkov Reddite podpísané práve expiračným certifikátom z roku 2011, čo môže u starších zostáv spôsobiť problémy s ovládačmi, pokiaľ po júni nebudú mať najnovšie “razítka”.
Prečo viacero reštartov?
Bežná mesačná aktualizácia Windowsu 11 zvyčajne vyžaduje iba jeden reštart. Microsoft vysvetlil, že „s nedávnymi a pripravovanými aktualizáciami v priebehu nasledujúcich niekoľkých mesiacov môže obmedzený počet spotrebiteľských a firemných zariadení zaznamenať jeden ďalší reštart počas inštalácie“. Tento dodatočný reštart nastáva po aplikovaní aktualizácie certifikátu Secure Boot a ako sme už spomenuli, ide o jednorazovú udalosť.
Windows Latest, ktorý na toto upozornenie poukázal, referuje, že niektorí používatelia hlásili dokonca tri reštarty namiesto avizovaných dvoch. Ak sa aj váš počítač reštartoval trikrát, nie je to nutne znak problému, ale skôr potvrdenie, že nový certifikát bol úspešne nainštalovaný a ochrana funguje.
Treba dodať, že niektorí používatelia s problémami firmvéru nové certifikáty automaticky nedostanú, čo si môže vyžadovať manuálny zásah.
Neprehliadnite
Kedy k tomu dôjde a koho sa to týka
Výmena certifikátov prebieha postupne prostredníctvom pravidelných mesačných aktualizácií Windowsu 11, pričom väčšina zariadení vyrobených od roku 2024 nové certifikáty dostala priamo z výroby.
Staršie počítače ich dostávajú cez Windows Update, pričom distribúcia začala v januári tohto roka, aprílová aktualizácia priniesla rozšírenejšie nasadenie a májová aktualizácia, ktorá vychádza 13. mája, by mala pokryť ešte väčšiu časť zariadení.
PCWorld informuje, že aprílová aktualizácia zároveň pridala priamu kontrolu stavu certifikátov v aplikácii Zabezpečenie systému Windows, takže používatelia si môžu jednoducho overiť, či majú nové certifikáty nainštalované, bez potreby spúšťania príkazov v prostredí PowerShell, ako tomu bolo doteraz.
Ak aktualizácia ešte nedorazila, najlepšie bude uistiť sa, že máte zapnuté automatické aktualizácie a zároveň sú povolené diagnostické údaje v nastaveniach. Bez nich automatická výmena certifikátov nie je možná.
Čo ak certifikáty nevymeníte?
Zariadenia, ktoré nové certifikáty nedostanú pred expiráciou (v júni 2026), budú podľa Microsoftu naďalej fungovať, no vstúpia do degradovaného stavu bezpečnosti. To konkrétne znamená, že po júni 2026 nebudú schopné prijímať bezpečnostné aktualizácie pre správcu zavádzania systému ani komponenty Secure Boot. BleepingComputer dodáva, že po októbri 2026 navyše tieto zariadenia nebudú dôverovať softvéru podpísanému novými certifikátmi, čo môže spôsobiť komplikácie s ovládačmi a firmvérom tretích strán. Zvyšuje sa aj riziko spomínaných bootkitov.
