← Terug naar blog
Security

Secure Boot certificaat-rollover: wat IT-teams nu moeten doen voor 27 juni 2026

Door Zarioh Digital Solutions6 min leestijd
Delen
Secure Boot certificaat-rollover: wat IT-teams nu moeten doen voor 27 juni 2026

Op 27 juni 2026 verloopt het Microsoft UEFI CA 2011-certificaat dat de basis vormt van Secure Boot op miljoenen Windows-apparaten. Automatische updates via Patch Tuesday rollen al uit, maar apparaten in beheerde omgevingen, dual-boot-systemen en machines met verouderde firmware vereisen actie van IT-teams. Dit is wat u deze week moet controleren.

Er loopt een stille deadline voor de meeste Windows-apparaten in zakelijke omgevingen: 27 juni 2026. Op die datum verloopt het Microsoft Corporation UEFI CA 2011-certificaat, het certificaat dat al vijftien jaar de basis vormt van Secure Boot op Windows-hardware. Wie niets doet, verliest niet direct de toegang tot zijn apparaten, maar verliest wel de bescherming van toekomstige boot-level beveiligingsupdates — en dat onderscheid is cruciaal.

Dit artikel legt uit wat er precies verloopt, voor welke apparaten handmatige actie nodig is, welke risico's er zijn rondom BitLocker en Intune-compliance, en hoe IT-teams dit gestructureerd aanpakken.

Wat is Secure Boot en wat verlopen er precies?

Secure Boot is een beveiligingsstandaard die in de UEFI-firmware van uw apparaat zit. Het controleert bij het opstarten of de bootloader en de besturingssysteemcomponenten zijn ondertekend met een vertrouwd certificaat. Zo voorkomt het dat kwaadaardige software — zoals bootkits en rootkits die vóór het besturingssysteem laden — worden uitgevoerd.

Het Microsoft Corporation UEFI CA 2011-certificaat is het certificaat dat derde-partij bootloaders ondertekent, waaronder de Linux Shim die door vrijwel alle grote Linux-distributies wordt gebruikt. Dit certificaat verloopt op 27 juni 2026. Een tweede certificaat, het Microsoft Windows Production PCA 2011 dat de Windows-bootloader zelf ondertekent, volgt later op 19 oktober 2026. Microsoft vervangt beide door 2023-versies van dezelfde certificaten.

Apparaten die vóór de vervaldatum de nieuwe certificaten ontvangen, blijven volledig beschermd. Apparaten die de update missen, kunnen nog steeds normaal opstarten — bestaande ondertekeningen blijven geldig — maar kunnen geen nieuwe boot-level beveiligingsupdates meer ontvangen. Dat betekent dat kwetsbaarheden die na de vervaldatum worden ontdekt in de boot-keten, op die apparaten niet meer worden gedicht.

Wat regelt Windows Update automatisch?

Voor de meeste apparaten verloopt de update automatisch via Windows Update. Microsoft heeft de certificaatvernieuwing opgenomen in de Patch Tuesday-cyclus van juni 2026, met 9 juni als centrale uitroldag. De update voegt de nieuwe 2023-certificaten toe aan de UEFI Secure Boot-database en de KEK (Key Exchange Key) van het apparaat.

De automatische update werkt echter alleen als aan een aantal voorwaarden is voldaan. Het apparaat moet bereikbaar zijn voor Windows Update of WSUS. De UEFI-firmware van het apparaat moet de nieuwe certificaten kunnen opslaan, wat voor vrijwel alle hardware van de afgelopen zeven jaar het geval is. En het apparaat moet niet actief zijn uitgesloten van automatische updates via een beheerde update-policy.

In strak beheerde omgevingen — met WSUS, Configuration Manager of afgeschermde netwerken zonder internettoegang — moet de update expliciet worden goedgekeurd en uitgerold. Wie zijn updatebeleid heeft ingesteld op 'alleen na goedkeuring', moet deze update deze week vrijgeven.

Het BitLocker-risico dat velen over het hoofd zien

Voor apparaten waarop BitLocker actief is, heeft de certificaatrollover een bijzonder risico. Wanneer de UEFI-firmware wordt bijgewerkt om de nieuwe certificaten op te nemen, kan dat een wijziging in de TPM-meetwaarden veroorzaken. BitLocker gebruikt die meetwaarden om te bepalen of het apparaat in een vertrouwde staat verkeert. Een onverwachte firmware-wijziging kan ervoor zorgen dat BitLocker bij de volgende herstart de herstelsleutel opvraagt.

Dit is geen hypothetisch risico: in de eerste weken na de uitrol zijn gevallen gemeld van BitLocker-herstelloops op apparaten die de certificaatupdate ontvingen zonder dat de herstelsleutel bij de hand was. De mitigatie is eenvoudig maar vereist voorbereiding. Controleer voor de uitrol of de BitLocker-herstelsleutels voor alle apparaten zijn opgeslagen in Entra ID of in Active Directory. Intune-beheerde apparaten kunnen dit afgedwingen worden via de Endpoint security-policy, maar verificeer per apparaat of de sleutel ook werkelijk is gesynchroniseerd.

Intune-compliance en Conditional Access

Secure Boot-status is een meetbaar gegeven in Microsoft Intune. Apparaten die Secure Boot hebben uitgeschakeld, of waarvan de boot-database niet up-to-date is, kunnen worden gemarkeerd als niet-compliant. Als uw Conditional Access-beleid ingesteld is om niet-compliant apparaten te blokkeren van Microsoft 365, SharePoint of andere bedrijfsbronnen, dan is dat ook de praktische consequentie voor apparaten die de update niet ontvangen.

Controleer in het Intune-portaal onder Devices welke apparaten momenteel niet-compliant zijn op de Secure Boot-eis. U kunt een compliance-policy specifiek voor Secure Boot instellen of de bestaande Windows Health Attestation-policy raadplegen. Apparaten die in Intune worden beheerd maar de certificaatupdate nog niet hebben ontvangen, zijn eenvoudig te identificeren via een filter op de updatestatus.

Voor omgevingen die gebruik maken van Registry-gebaseerde opt-in controle: de sleutel MicrosoftUpdateManagedOptIn onder HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\ bepaalt of het apparaat de update via de beheerde rollout ontvangt. Een waarde van 1 betekent dat het apparaat is aangemeld voor de gecontroleerde uitrol. Intune Remediations kunnen worden ingezet om deze sleutel op te zetten en de status te rapporteren over de gehele devicefleet.

Aandacht voor apparaten met Linux of dual-boot

Apparaten waarop naast Windows ook Linux is geïnstalleerd, verdienen extra aandacht. Het UEFI CA 2011-certificaat is precies het certificaat dat de Linux Shim ondertekent — de bootloader-laag die vrijwel alle grote Linux-distributies gebruiken om met Secure Boot te kunnen opstarten. Na de vervaldatum kunnen Linux-distributies die nog gebruik maken van een oudere Shim-versie, ondertekend met alleen het 2011-certificaat, problemen ondervinden bij het installeren van Shim-updates.

De grote distributies hebben dit voorzien. Red Hat heeft voor RHEL 8, 9 en 10 nieuwe Shim-versies uitgebracht die zijn ondertekend met zowel het 2011- als het 2023-certificaat. Ubuntu en Debian volgen een vergelijkbaar pad. Toch is het voor organisaties met hybride Windows-Linux-omgevingen of Proxmox-omgevingen verstandig om te controleren of de edk2-ovmf-pakketten op hypervisors zijn bijgewerkt, zodat nieuwe virtuele machines starten met de 2023-certificaten.

Vijf stappen voor IT-teams deze week

De meeste actie is te concentreren in een compacte checklist. Ten eerste: inventariseer welke apparaten de update nog niet hebben ontvangen. Gebruik in Intune de rapportage op Windows Update-status of de Device Health Attestation om een lijst te maken van apparaten die achterlopen. Prioriteer apparaten die kritieke bedrijfsfuncties draaien.

Ten tweede: verifieer dat BitLocker-herstelsleutels gesynchroniseerd zijn. Ga naar Entra ID, open het apparaatoverzicht en controleer per apparaat of er een herstelsleutel is opgeslagen. Overweeg een Intune-script uit te rollen dat de synchronisatie afdwingt voor apparaten die nu nog geen sleutel hebben gesynchroniseerd.

Ten derde: geef de certificaatupdate vrij in uw updatebeheeromgeving. In WSUS of Configuration Manager staat de certificaatupdate van juni 2026 als afzonderlijk item. Keur deze update deze week goed voor alle productiegroepen. Houd rekening met een herstartvenster, omdat de update een herstart vereist om te voltooien.

Ten vierde: controleer firmwareversies op oudere hardware. Apparaten ouder dan zeven jaar kunnen een firmware-update nodig hebben van de fabrikant voordat de nieuwe certificaten kunnen worden opgeslagen. Dell, HP en Lenovo hebben allen specifieke kennisartikelen gepubliceerd over welke modellen een firmware-capsule-update vereisen. Raadpleeg de leverancierspagina voor uw apparaatmodellen.

Ten vijfde: stel een tijdelijke uitzonderingsregel in voor apparaten in Conditional Access die de update nog niet hebben ontvangen maar wel kritiek zijn voor de bedrijfsvoering. Zo voorkomt u dat apparaten onverwacht worden geblokkeerd terwijl de update nog wordt uitgerold. Verwijder de uitzondering zodra de update is bevestigd.

Na juni: wat verandert er structureel?

De certificaatrollover is geen eenmalige actie maar een signaal voor een bredere structuurwijziging. Microsoft gaat op termijn alle Secure Boot-certificaten periodiek vervangen, vergelijkbaar met hoe TLS-certificaten al jarenlang kortere levensduurcycli kennen. IT-teams die nu een gestructureerd proces inrichten voor firmware- en certificaatbeheer, staan sterker voor toekomstige rollovers.

Wilt u ondersteuning bij het controleren van uw Intune-omgeving, het uitrollen van de certificaatupdate of het inrichten van BitLocker-sleutelbeheer? Neem contact op met Zarioh — wij helpen organisaties om Windows-beveiliging structureel op orde te houden.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen