Pembaruan sertifikat Secure Boot saat ini sedang diluncurkan di seluruh perangkat Windows yang didukung melalui layanan Windows Update. Pada bulan Juni 2026, sertifikat Secure Boot yang telah ditanamkan di dalam Windows sejak tahun 2011 akan mulai memasuki masa kedaluwarsa. Sebagai langkah antisipasi, Microsoft mengganti sertifikat lama tersebut dengan set sertifikat baru yang bertanggal tahun 2023.

Secure Boot merupakan fitur firmware UEFI yang terintegrasi pada hampir semua PC yang dijual sejak sekitar tahun 2012. Fitur ini berjalan sebelum sistem operasi Windows dimuat, dan berfungsi untuk memverifikasi bahwa boot loaderserta komponen awal boot telah ditandatangani oleh pihak yang tepercaya. Apabila ada program yang tidak terdaftar dalam daftar kepercayaan (seperti ancaman bootkit) mencoba menyisipkan diri ke dalam rantai boot, Secure Boot akan memblokirnya.

Kepercayaan sistem ini dibangun melalui sertifikat kriptografi yang ditanamkan pada firmware motherboard. Tiga sertifikat dari tahun 2011 yang akan segera kedaluwarsa meliputi:

Microsoft akan menggantikannya dengan set sertifikat bertanggal 2023, yang mencakup Windows UEFI CA 2023 dan Microsoft Corporation KEK 2K CA 2023. Teknisi Microsoft menyatakan bahwa sertifikat baru ini akan berlaku hingga tahun 2038. Selain itu, transisi kriptografi pasca-kuantum secara terpisah juga telah direncanakan untuk perangkat keras masa depan pada sekitar tahun 2030.

Baca Juga: Lonjakan 18% Serangan Password Stealer di Asia Tenggara, 234 Ribu Kasus Hantam Indonesia

PC Anda tidak akan berhenti berfungsi meskipun tenggat waktu tiba dan sistem masih menggunakan sertifikat versi 2011. Windows akan tetap melakukan proses boot, Windows Update akan tetap beroperasi, dan PC akan terus berfungsi seperti biasa.

Namun, PC yang gagal bertransisi tidak akan lagi dapat menerima perlindungan keamanan baru untuk proses boot awal. Hal ini mencakup pembaruan untuk Windows Boot Manager, basis data Secure Boot, daftar pencabutan, serta mitigasi untuk kerentanan tingkat boot yang baru ditemukan. Secara sederhana, PC Anda akan menjadi lebih sulit untuk dilindungi dari ancaman siber yang akan ditemukan di masa depan.

Pentingnya keamanan di tingkat boot dapat dilihat dari kasus BlackLotus. BlackLotus merupakan bootkit UEFI yang teridentifikasi di forum peretasan pada tahun 2022 dan dikonfirmasi beredar secara liar oleh peneliti pada awal tahun 2023.

• Ancaman ini mengeksploitasi kerentanan CVE-2022-21894 untuk menembus Secure Boot pada sistem Windows yang telah diperbarui sepenuhnya.
• Setelah terinstal, bootkit ini mampu menonaktifkan fitur BitLocker, Hypervisor-Protected Code Integrity (HVCI), dan Microsoft Defender sebelum Windows dimuat sepenuhnya.

Dengan penerapan sertifikat 2023 yang baru, Microsoft dapat terus meluncurkan komponen boot yang lebih aman dan mencabut komponen yang rentan secara aman saat ada ancaman baru yang muncul.

Mekanisme Peluncuran Pembaruan

Microsoft menerapkan peluncuran bertahap yang dirancang untuk mencegah kerusakan pada sistem. Tugas terjadwal pada Windows berjalan sekitar setiap 12 jam untuk menerapkan pembaruan dengan langkah-langkah berikut:

1. Sistem menambahkan Windows UEFI CA 2023 ke dalam basis data tanda tangan firmware.
2. Jika sertifikat pihak ketiga tahun 2011 masih ada, sistem akan menambahkan Microsoft UEFI CA 2023 dan Microsoft Option ROM UEFI CA 2023 secara bersamaan.
3. Sistem menambahkan kunci Microsoft Corporation KEK 2K CA 2023 yang baru.
4. Sistem memperbarui Windows Boot Manager ke versi yang ditandatangani dengan sertifikat baru (langkah ini ditunda hingga proses reboot berikutnya).

Panduan untuk profesional TI memperkirakan bahwa proses ini memakan waktu sekitar 48 jam dan membutuhkan satu atau beberapa kali restart agar selesai. Dimulai dengan pembaruan Windows bulan April 2026, aplikasi Keamanan Windows menampilkan status Secure Boot yang diperbarui untuk menunjukkan apakah sertifikat baru telah berhasil diterapkan.

Panduan untuk Pengguna Rumahan

• Selalu perbarui Windows: Pembaruan sertifikat dilakukan melalui Windows Update, sehingga pengguna hanya perlu menginstal pembaruan bulanan.
• Periksa status Secure Boot: Buka Keamanan Windows, pilih Keamanan perangkat, lalu pilih Secure Boot. Tanda hijau yang bertuliskan "Secure Boot aktif, mencegah perangkat lunak berbahaya dimuat saat perangkat Anda menyala" menandakan status aman. Microsoft mengingatkan bahwa tanda centang hijau saja belum memastikan sertifikat baru telah diterapkan.
• Perbarui BIOS/Firmware: Jika PC dibuat sebelum tahun 2024, periksa ketersediaan pembaruan BIOS/Firmware dari pabrikan. Beberapa sistem memerlukan pembaruan ini agar proses transisi Secure Boot dapat diselesaikan.
• Jangan matikan Secure Boot: Menonaktifkan Secure Boot bukanlah solusi karena tindakan ini akan menghilangkan perlindungan sepenuhnya.
• Abaikan folder SecureBoot yang baru: Pembaruan Mei 2026 (KB5089549) menciptakan folder di C:\Windows\SecureBoot yang berisi contoh skrip PowerShell untuk administrator TI. Folder ini normal, bukan malware, dan tidak perlu dihapus.

Panduan untuk Tim TI Organisasi

• Inventarisasi perangkat lunak: Catat produsen, model, versi BIOS, dan status Secure Boot. Gunakan skrip contoh PowerShell dari Microsoft di aka.ms/GetSecureBoot untuk melihat kunci registri yang relevan.
• Pantau ID Aktivitas: Pantau ID Aktivitas 1801 dan 1808. ID 1808 mengonfirmasi bahwa sertifikat baru telah dipasang, sementara ID 1801 berarti pembaruan belum selesai.
• Uji coba sebelum peluncuran massal: Microsoft menyarankan pengujian pada setidaknya empat perangkat untuk setiap kombinasi produsen, model, dan firmware yang berbeda.
• Perhatikan PXE dan Hyper-V: Server PXE SCCM/MECM mungkin memerlukan boot.wim yang ditandatangani ulang. Host Hyper-V mungkin juga memerlukan pembaruan sebelum Mesin Virtual baru dibuat dengan KEK 2023.
• Dokumentasikan perangkat lama: Perangkat keras lama tanpa dukungan firmware dari produsen mungkin tidak dapat menerima sertifikat baru. Perangkat ini harus didokumentasikan karena kemungkinan tidak akan mendapatkan perlindungan tingkat boot di masa mendatang.