Bagi pengguna Windows lama, perubahan besar di lapisan boot sedang mendekat. Mulai 24 Juni, sejumlah sertifikat Secure Boot era 2011 memasuki masa kedaluwarsa, dan ini membuat PC yang lebih tua menjadi kelompok paling rawan tertinggal dari jalur perlindungan boot terbaru.
Yang perlu dicatat, perangkat tersebut tidak otomatis berhenti menyala. Windows tetap bisa berjalan normal dan pembaruan standar sistem operasi masih dapat diterima, tetapi kemampuan untuk menerima perlindungan boot yang lebih baru akan makin terbatas jika sertifikat penggantinya tidak masuk ke sistem.
Tiga sertifikat yang memasuki akhir masa pakai
Microsoft memiliki tiga sertifikat yang terdampak dalam periode ini. Microsoft Corporation KEK CA 2011 berakhir pada 24 Juni, disusul Microsoft UEFI CA 2011 pada 27 Juni, lalu Microsoft Windows Production PCA 2011 pada 19 Oktober.
Di antara ketiganya, Microsoft Windows Production PCA 2011 menjadi yang paling penting. Sertifikat ini dipakai untuk menandatangani bootloader Windows, sehingga tenggat Oktober menjadi titik yang sangat relevan bagi integritas boot dalam jangka panjang.
Mengapa Secure Boot ikut jadi sorotan
Secure Boot bekerja pada lapisan paling awal saat PC menyala. Karena posisinya berada di level firmware, perlindungan ini berperan menjaga proses boot sebelum sistem operasi benar-benar aktif.
Kalau sertifikat lama habis dan tidak digantikan dengan tepat, perlindungan firmware bisa tertinggal meski Windows masih terlihat normal. Dalam kondisi seperti itu, perangkat tetap menyala, tetapi jalur pembaruan untuk database Secure Boot baru, daftar pencabutan sertifikat, dan tambalan terhadap celah boot-level menjadi semakin sempit.
Ancaman paling terasa di perangkat lama
Microsoft sudah mulai mendorong sertifikat pengganti 2023 lewat Windows Update sejak Januari. Proses itu juga terus diperluas melalui pembaruan bulanan, termasuk KB5089549 yang dirilis bulan ini.
Namun, kondisi ini tidak sama untuk semua perangkat. Tantangan terbesar muncul pada PC lama dan mesin Windows 10 yang tidak lagi didukung, terutama yang berada di luar program Extended Security Updates.
Pengguna Windows 10 di luar program tersebut tidak akan menerima sertifikat baru. Untuk perangkat seperti itu, Microsoft tidak menyiapkan jalur remediasi setelah 24 Juni, sehingga posisi sertifikat 2011 bisa tetap bertahan tanpa perpindahan ke rantai baru.
Firmware OEM ikut menentukan hasil akhir
Sebagian PC lama juga memerlukan pembaruan firmware dari OEM agar rollout sertifikat Windows bisa berjalan mulus. Ini penting karena rantai sertifikat baru harus tertambat langsung ke firmware UEFI.
Jika produsen sudah berhenti merilis pembaruan firmware, perangkat bisa tetap berada di sertifikat 2011 meski Windows di dalamnya sudah dipasang dan diperbarui. Pada situasi seperti ini, pembaruan sistem operasi saja tidak cukup untuk memindahkan perangkat ke rantai sertifikat baru.
Cara memeriksa status perangkat
Status Secure Boot dapat diperiksa lewat Windows Security, lalu masuk ke Device Security dan membuka bagian Secure Boot. Microsoft juga menyiapkan panduan dukungan KB5062710 untuk menjelaskan arti kedaluwarsa ini dan langkah yang perlu diambil jika pembaruan belum diterapkan.
Microsoft menyarankan pengguna memasang pembaruan terbaru dan memeriksa status melalui KB5062710. Jika sertifikat 2023 belum muncul pada sistem yang sudah sepenuhnya diperbarui, pengguna diminta menghubungi dukungan OEM.
Pada perangkat dengan dukungan pabrikan yang terbatas, langkah ini menjadi sangat penting. Masa berlaku sertifikat bukan hanya detail teknis, melainkan penentu apakah jalur perlindungan boot masih bisa diperbarui atau mulai tertutup.
Source: www.notebookcheck.net-
-
-
-
