24 Haziran 2026’da, yani bugün Microsoft Secure Boot KEK sertifikasının süresi doldu. Peki bu neden bizi ilgilendiriyor? Yakından bakalım.
Secure Boot Nedir?
Secure Boot (Güvenli Önyükleme), bilgisayarınız açılırken devreye giren ve yalnızca güvenilen yazılımların çalıştırılmasını sağlayan bir UEFI güvenlik standardı. Bir nevi bilgisayarın açılış kapısında bekleyen dijital bir güvenlik görevlisi.
Bilgisayarın güç tuşuna bastığınızda UEFI yazılımı; önyükleyici (bootloader), işletim sistemi çekirdeği ve donanım sürücülerinin dijital imzalarını kontrol ediyor. Eğer bu yazılımların imzası geçerli değilse veya modifiye edilmişse, Secure Boot sistemin açılmasını engelliyor. Bu sayede işletim sistemi henüz yüklenmeden devreye girmeye çalışan ve geleneksel antivirüs yazılımlarının tespit edemediği rootkit veya bootkit gibi tehlikeli zararlı yazılımların bilgisayarı ele geçirmesinin önüne geçiliyor.
Sistemin anahtar hiyerarşisine bakalım:
- PK (Platform Anahtarı – Platform Key): Sahibi anakart üreticisi ve KEK’e olan erişimi kontrol ediyor.
- KEK (Anahtar Değişim Anahtarı – Key Exchange Key): İmza veritabanlarını güncellemek için kullanılıyor.
- DB (İmza Veritabanı – Signature Database): Windows Önyükleme Yöneticisinin yüklenmesine olanak tanıyan (2011 ve yeni 2023 Microsoft sertifikaları gibi) güvenilir sertifikaları barındırıyor.
- DBX (İptal Edilmiş İmza Veritabanı – Revoked Signature Database): Güvenliği ihlal edilmiş veya ele geçirilmiş imzalardan oluşan bir kara liste. BlackLotus önyükleme virüsü (bootkit) gibi kötü amaçlı bir yazılım keşfedildiğinde, söz konusu yazılımın imzası buraya ekleniyor.
Kısacası Secure Boot; bilgisayarınızın donanım seviyesinden işletim sistemine kadar olan açılış sürecinin (güven zincirinin) kırılmadığını ve araya yabancı bir kod sızmadığını garanti altına almayı amaçlıyor.
Tabi işler her zaman istenildiği gibi gitmedi. 2022’nin sonlarında, karanlık forumlarda BlackLotus adında bir UEFI Bootkit (açılış virüsü) satışa çıktı. BlackLotus kapıyı baltayla kırmaya çalışmak yerine dijital güvenlik görevlisini kendi kurallarıyla vuruyordu. İçerisinde Microsoft’un yıllar önce bizzat imzaladığı ama ciddi bir açık (CVE-2023-24932) unutulmuş olan eski ama tamamen yasal bir Windows dosyasını getiriyordu. Secure Boot dosyayı inceliyor ve “İmza Microsoft’un, dosya temiz, geçebilirsin.” diyordu.
Microsoft mühendisleri açığı fark ettiklerinde önlerinde devasa bir lojistik felaket duruyordu.
Eğer Secure Boot’a “Eski dosyayı kullanan kimseyi içeri alma!” talimatı verirlerse, yani eski dosyayı DBX isimli kara listeye eklerlerse siber saldırganları durduracaklardı. Ancak o esnada dünyada milyarlarca bilgisayar, şirket içi sunucu, Windows kurulum USB’si ve ISO dosyaları da “eski” dosyayı kullanıyordu. Microzort, tek bir güncellemeyle dünyadaki tüm eski Windows yükleme medyalarını birer “tuğlaya” dönüştürme riskini göze alamazdı. İnsanlar bilgisayarlarına format atamayacak, sistemler çökecekti.
Microsoft, operasyonu zamana yaymaya karar verdi. Süreç tam 3 yıl sürecekti ki içinde bulunduğumuz 2026 yılındaki sertifika krizinin kökeni de burası. Windows Update üzerinden bilgisayarlardaki Secure Boot veritabanlarına yavaş yavaş yeni kara listeler yollandı. Veritabanları güncellendikçe “güvenli dosyalar” listesi daraldı. İşte tam bu dönemde, evinde masumca bilgisayarına format atmak isteyen Ahmet sahneye çıkıyor. Ahmet, bilgisayarında duran 2022’den kalma orijinal Windows ISO dosyasını Rufus ile USB’ye yazdırıyor. Bilgisayarı yeniden başlatıp USB’den boot etmeye çalıştığı an ekranda o meşhur uyarı beliriyor: Secure Boot Violation “Geçersiz imza algılandı. Sistem başlatılamıyor.”
Ahmet şaşkın: “Ama bu orijinal Windows ISO’su, Microsoft’un sitesinden indirdim!” diye isyan ediyor. Ahmet’in bilmediği şey, bilgisayarındaki güncellenmiş Secure Boot’un, ISO’nun içindeki eski boot dosyasına artık bir “BlackLotus ajanı” muamelesi yaptığı. Secure Boot görevini yapıyor, Ahmet ise format atamıyor.
Sonu Gelmeyen ISO Güncelleme Yarışı
Microsoft, web sitesindeki medya oluşturma araçlarını ve resmi ISO dosyalarını apar topar güncellemek zorunda kaldı. Eski ISO’ları tedavülden kaldırdılar ve içlerine BlackLotus açığı kapatılmış, yepyeni imzaya sahip önyükleme dosyaları yerleştirdiler.
Olay tam bir kedi-fare oyununa döndü: Anakart üreticileri, BIOS güncellemeleri yayınlamak, Microsoft ISO’ları tazelemek, sistem yöneticileri ise her format öncesi Secure Boot’u kapatıp açmak zorunda kaldı.
Özetle BlackLotus, Microsoft’un kendi geçmişine vurulan bir siber darbeydi. Microsoft bu deliği kapatmak için eskiyi çöpe atmak zorunda kaldı ve siber güvenliğin faturası, bugün format atarken “Secure Boot Violation” hatasıyla boğuşan son kullanıcılara ve BT yöneticilerine kesildi.
Bugün eğer elinizdeki Windows 10 veya Windows 11 ISO dosyası eskiyse, Rufus 4.6 ve sonrasındaki sürümler, ISO’yu seçer seçmez sizi bu konuda uyarıyor. Eğer uyarıyı dikkate almayıp yine de yazarsanız bilgisayarınızın güncel Secure Boot veritabanı bu eski Windows dosyasını “Bu sürümde açık var, buna güvenmiyorum” diyerek reddediyor. Bu durumda iki seçeneğiniz var:
- Secure Boot ayarını bulup geçici olarak Disabled (Devre Dışı) yapmak.
- Güncel Windows ISO’su kullanmak.
Şimdi bu sorunlar 24 Haziran sonrası tekrar başlayabilir zira Microsoft, 2011’den kalan Secure Boot KEK sertifikasını güncelleyecek.
Orijinal 2011 sertifikalarının kriptografik geçerlilik süresi bu sene dolmak üzere. Microsoft’un yeni 2023 sertifikalarını BIOS’a yazması, Önyükleme Yöneticisini (Boot Manager) yeni anahtarlarla imzalanmış bir sürümle değiştirmesi ve nihayetinde eski anahtarlara olan güveni sonlandırması gerekiyor.
Bu dağıtım sürecinin bir parçası olarak Microsoft, Windows 11’de ortaya çıkan yeni Secure Boot klasörünün bir hata olmadığını ve bu klasörü silmenize gerek olmadığını söyledi. Bu klasör, basitçe işletim sisteminin kriptografik dosyaları anakartınıza yazmadan önce depoladığı alan oluyor.
Eski BIOS’lar Ne Olacak?
Eğer bilgisayarınız gerçek anlamda bir Eski (Legacy) BIOS üzerinde çalışıyorsa, fiziksel olarak Secure Boot yeteneğine sahip değil. Sistem, SecureBootCapable = False ve SecureBootEnabled = False olarak algılanıyor ki bu da Windows’un güncelleme girişimini tamamen atlayacağı anlamına geliyor. Ama cihazınız eski BIOS’u taklit etmek (emüle etmek) için bir Uyumluluk Destek Modülü (CSM – Compatibility Support Module) kullanıyor ancak hala UEFI ve Secure Boot özelliklerine sahipse, güncelleme hata vermeden normal bir şekilde gerçekleşmeye devam edecek.
Secure Boot Kapalıysa Ne Olacak?
Microsoft, son derece tutarsız olan UEFI ekosistemi nedeniyle Secure Boot kapalıysa güncelleme sürecini kasıtlı olarak sonlandıracak. Bazı anakart BIOS’ları Secure Boot devre dışıyken sertifikaları güncelleyebilirken; diğerleri özelliği tekrar açtığınız an önyükleme (boot) sırasını bozabiliyor veya sertifikaları aniden değiştirebiliyor. Sistemlerin kullanılmaz hale gelmesini (brick olmasını) önlemek amacıyla Microsoft, Secure Boot’un aktif olarak çalışmasını şart koşuyor.
Üç Kere Yeniden Başlatma Gerekebilir
Firmware veya BIOS güncellemek riskli bir işlem; bu nedenle Microsoft, süreci aşamalı olarak gerçekleştiriyor. Microsoft, Windows 11’in güncellemelerden sonra birden fazla kez yeniden başlatılabileceğini ve bilgisayarınızın bozulmadığını, bunun Secure Boot 2023 nedeniyle gerçekleştiğini söylüyor. BIOS’a veri göndermek; sertifikaları hazırlamak için bir yeniden başlatma, üretici yazılımının bunları uygulaması için ikinci bir yeniden başlatma ve yeni imzalanmış önyükleyiciyi (bootloader) yüklemek için ardışık bir yeniden başlatma daha gerektiriyor.
Bu durum doğal olarak söz konusu çoklu yeniden başlatmalar boyunca BitLocker’ı askıya almak (suspend) gerekip gerekmediğine dair endişeleri beraberinde getirdi.
BitLocker’ı askıya almanıza gerek yok. Microsoft, güncelleme sürecinin tamamen BitLocker uyumlu olduğunu açıkladı. Bu işlem sırası, BitLocker ve Sanal Güvenli Mod (VSM – Virtual Secure Mode) için anahtarları otomatik olarak yeniden mühürlüyor (reseal); böylece siz sistemin dışında kalmadan (kilitlenmeden) Windows Hello gibi özelliklerin yeniden başlatmalar boyunca korunmasını sağlıyor.
Yani normal şartlarda Windows 10 veya Windows 11 kullananların büyük olasılıkla hiçbir şey yapması gerekmiyor. Yeni 2023 Secure Boot sertifikaları Windows Update aracılığıyla otomatik olarak bilgisayarınızın SPI Flash çipine yükleniyor ve çoğu bilgisayarda güncelleme arka planda uygulanıyor.
Secure Boot Sertifikalarının Güncel Olup Olmadığını Nasıl Kontrol Edeceğiz?
Windows 11 Nisan Güncellemesi, artık Secure Boot 2023 sertifikasının bilgisayarınıza uygulanıp uygulanmadığını gösteriyor. Ayarlar > Gizlilik ve Güvenlik > Windows Güvenliği > Cihaz Güvenliği bölümüne gidip biraz aşağı kaydırırsanız “Secure Boot” (Güvenli Önyükleme) bölümünü bulacaksınız. “Yeşil” bir onay işareti gördüğünüzde her şey yolunda demek.
Ofisteki test sistemimizde kontrol ettiğimde şu bilgi yer alıyordu: Güvenli Önyükleme açık ve gerekli tüm sertifika güncelleştirmeleri uygulandı. Başka sertifika değişikliği gerekmiyor. Yani Secure Boot’un etkin olduğu ve tüm sertifikaların uygulandığı açıkça belirtiliyor. Bu durum sistemin 24 Haziran 2026 son tarihi için tamamen hazır olduğu anlamına geliyor.
Öte yandan sıfır topladığım, Mayıs 2026 sürüm Windows 11 kurduğum ve en son BIOS güncellemesini yaptığım başka bir sistemde şu bilgiyi gördüm: Güvenli önyükleme açık , ancak cihazınız eski bir önyükleme güveni yapılandırması kullanıyor ve hizmet verilebilir olarak güncelleştirilecek şekilde güncelleştirilecek. Bu da demek oluyor ki gerekli güncel Secure Boot anahtarları az önce de belirttiğimiz gibi Windows Update ile cihaza yüklenecek.
Sarı bir uyarı görüyorsanız bu genellikle bilgisayarınızı ya da anakartınızı yapan firmanın bir firmware veya BIOS güncellemesi yayınlaması gerektiği anlamına geliyor; bilgisayar üreticinizin destek sayfasını kontrol etmek en doğru adım olacak bu noktada.
Güncellemeyi Yapmazsanız Ne Olacak?
Güncellemeyi yapmazsanız bilgisayarınız sorunsuz açılmaya devam edecek lakin Microsoft’un iddiasına göre zayıflatılmış bir güvenlik durumunda çalışacakt. Eğer 2023 DB sertifikası yüklü değilse, bilgisayarınız en yeni Windows Önyükleme Yöneticisi’ni (Windows Boot Manager) çalıştıramayacak. Bu nedenle Microsoft, önyükleme için kritik öneme sahip dosyalara yönelik güvenlik güncellemelerini göndermeyi durduracak.
Ayrıca sisteminiz yeni DBX kara listelerini indiremeyecek ve bu da sizi gelecekteki bootkit zararlı yazılımlarına karşı savunmasız bırakacak.
Güncelleme eksikliği özellik sürümlerini de etkileyecek. Microsoft, yaklaşmakta olan Windows 11 26H2 sürümünün normal şekilde yüklenmeye devam edeceğini, ancak gelecekteki işletim sistemi yükseltmelerinin en nihayetinde EFI bölümünün 2023 sertifikası ile imzalanmış olmasını gerektireceğini söylüyor.
Windows 11 artık kullanıcılar bu yükseltme engellerine takılmadan önce uyarmak amacıyla, Güvenli Önyükleme (Secure Boot) sertifikalarınızın dikkat gerektirip gerektirmediğini size bildirecek.
2023 Sertifikalarının Ömrü Ne Kadar Olacak?
Yeni 2023 anahtarlarını düzenleyen kök sertifikanın süresi 2038’de doluyor ve bu da onlara on yıldan biraz fazla bir ömür tanıyor. Ancak Scott Shell, Kuantum Sonrası (Post-Quantum) kriptografi zorunluluğunun yürürlüğe gireceği 2030 yılında sektörde büyük bir değişim beklendiğine dikkat çekti.
Şu anda 2023 sertifikalarını alan eski nesil donanımlar kullanım ömürlerinin sonuna kadar bu sertifikalarla devam edecek olsa da, 2030’larda üretilen yeni donanımlar tamamen yeni Kuantum Sonrası sertifikalarla birlikte sunulacak.
Linux İçin Durum Ne?
Linux dağıtımlarının çoğu da Microsoft sertifikalarını Windows gibi güncelleme üzerinden veriyor. Örneğin Fedora 44 de bu dağıtımlardan biri.
Peki sizin dağıtımızda sertifikalar güncellendi mi? Bunu MOK, yani Machine Owner Keys ile kontrol edebilirsiniz. CachyOS’te önce paru -S mokutil ile uygulamayı yüklüyoruz. İlk olarak Secure Boot durumunu kontrol ediyoruz ve gördüğünüz üzere kapalı. Öte yandan bu, anahtarları kontrol etmemiz için bir engel değil.
sudo mokutil –kek komutunu girdiğimizde ise BIOS’ta üç adet anahtarımız olduğunu görüyoruz. İlk anahtar 24 Haziran’da süresi dolacak olan 2011 tarihli eski anahtar. İkinci anahtar ise 2023 tarihli güncel olan.
Bir de imza veritabanına bakalım. sudo mokutil –db komutuyla bunu görebiliyoruz. Bu komutun sonucunda 6 adet anahtar çıkıyor. Burada Ctrl + Shift + F ile arama yapıyoruz ve sonuç olarak 2038 tarihine kadar geçerli olan güncel sertifikamızı görüyoruz.
Sertifika Nasıl Güncellenir?
Peki sertifikamız güncel değilse nasıl güncelleyeceğiz? Bunun için Firmware Update Manager aracını kullanabiliriz. İlk olarak Firmware veritabanı güncellemesi yaparak başlayalım. Bunun için sudo fwupdmgr refresh komutunu giriyoruz.
Bu işlemden sonra Firmware güncellemelerini kontrol etmek için sudo fwupdmgr get-updates komutunu kullanıyoruz. Araç bize herhangi bir cihaz için güncelleme olmadığını belirtiyor ama eğer olsaydı sudo fwupdmgr update komutu ile güncelleyebilirdik. Eğer güncellenmesi gereken Secure Boot sertifikaları varsa bu komut, söz konusu sertifikaları indirecek ve bir sonraki açılışta NVRAM’e yazacak. Yine de hatırlatmakta fayda var, işlem bitiminde sistemin bir kez daha başlaması gerekebilir.
Sonuç
Çoğu kullanıcı için Secure Boot sertifika güncellemeleri otomatik olarak gerçekleştirilecek ve bir sorun çıkmayacak. Yine de yeni sertifikalara sahip olup olmadığınızı kontrol etmenizi ve gerekiyorsa elle güncellemenizi öneriyoruz.
