Secure Boot 関連メモ
最終更新:
icd2010memo 2026年04月16日(木) 23:58:47履歴
本Wiki 及び 本ページの内容は無保証です。
Secure Boot 関連メモ
Secure Boot証明書 Secure Boot certificates
2026年6月 セキュアブート証明書の有効期限切れ 予測
https://seesaawiki.jp/windows10memo/d/2026%c7%af6%...
Windows Secure Boot-Zertifikate laufen 2026 ab, alte Zertifikate werden ersetzt
[ 2. Update: Schrittweise Bereitstellung ]
Kommentare einblenden
moinmoin 14. Januar 2026 ttps://www.deskmodder.de/blog/2026/01/14/windows-secure-boot-zertifikate-laufen-2026-ab-alte-zertifikate-werden-ersetzt/
Windows セキュアブート証明書は 2026年に期限切れとなり、古い証明書は置き換えられます
[第2 回目の更新: 段階的な展開] (Web訳)より ..
Win10 または Win11をインストールし、定期的に Windows Updateを実行し、セキュアブートを有効にしている場合は、コンシューマー版 (Home、Pro、Education) ではこの点について心配する必要はありません。アップデートは Windows Update経由で行われます。セキュアブートが有効になっているかどうかを確認するには、Windows キー + R を押し、msinfo32 と入力して「セキュアブート」の項目を探します。この項目は「オン」になっている必要があります。そうでない場合、この機能は BIOSで無効になっています。
..
キーの階層構造
プラットフォームキー(PK)、次にキー登録キー(KEK)(キー交換キーとも)、KEKには、
Microsoft KEKやその他のOEM KEKが含まれる場合も。
許可署名データベース(DB)と不許可署名データベース(DBX)、
DBには、MicrosoftとOEMが管理する証明書が含まれており、DBXはMicrosoftによって最新の
失効情報で更新されます。
KEKを持つすべてのエンティティは、DBとDBXを更新できます。
..
PowerShell を使用して確認できます。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
true が表示されている場合は、新しい証明書がすでに含まれています。
Windows キー + R を押し、msinfo32 → セキュアブートの状態 有効
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
False
..
(2026年1月14日更新) Win10およびWin11(おそらくバージョン26H1も)の1月のセキュリティアップデートに伴い、Microsoftはセキュアブート証明書の更新を開始しました。
1月以降、デバイスのチェックを段階的に実施し、問題がなければ証明書が置き換えられます。そのため、他に何もする必要はありません。自動的に行われます。
今回のアップデート以降、.. 新しいセキュアブート証明書を自動的に受信できるデバイスを識別する、信頼性の高いデバイスデータのサブセットが含まれるようになります。デバイスは、十分な更新成功信号を示した場合にのみ新しい証明書を受信するため、安全かつ段階的な展開 保証 ..
#PowerShell 管理者として実行
タスクバーの検索欄 PowerShell→ 管理者として実行を選択
PS C:\WINDOWS\system32>Confirm-SecureBootUEFI
True
1.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
2.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023'
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
3.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
イベント 1801 これは、更新された証明書がデバイスのファームウェアに適用されなかったことを示すエラー イベント
該当ラベルによる BIOSアップデートが行われると、エラーメッセージID 1801は1808に変更されます
#Netより
イベントID:1801 AvailableUpdates 0x5944 1808となりCA 2023更新成功した ..
BIOS側更新がされない1801エラー インテルNUC ?
Windows 11 Forum
Did you manually update your Secure Boot Keys ?
May 26, 2025〜
ttps://www.elevenforum.com/t/did-you-manually-update-your-secure-boot-keys.36443/
Windows 11 Forum
Error 1801 Telling me to update my Secure Boot CA/Keys ?
Oct 14, 2025〜
ttps://www.elevenforum.com/t/error-1801-telling-me-to-update-my-secure-boot-ca-keys.40910/
#5 Event 1801/TPM-WMI
#18
Netより
2026.6.27 ? UEFI CA 2011証明書失効 ? UEFI CA 2023 対応が必要 ?
KB5036210: Deploying Windows UEFI CA 2023 certificate to Secure Boot
Allowed Signature Database (DB)
ttps://support.microsoft.com/en-us/topic/kb5036210-deploying-windows-uefi-ca-2023-certificate-to-secure-boot-allowed-signature-database-db-a68a3eae-292b-4224-9490-299e303b450b
Windows 11 Forum [INFORMATION] Secure Boot : Windows UEFI CA 2023 Update
2025.10.24〜
ttps://www.elevenforum.com/t/information-secure-boot-windows-uefi-ca-2023-update.41267/
#2
セキュア ブート Windows UEFI CA 2023 アップデートは、2026年6月までに Windows Update 経由で段階的に配信される予定 (Web訳)
Windows 11 Forum Secure boot update HowTo
2025.11.14〜
ttps://www.elevenforum.com/t/secure-boot-update-howto.41997/
Windows 11 Forum How to check your Secure Boot certs (two methods)
2025.11.24〜
ttps://www.elevenforum.com/t/how-to-check-your-secure-boot-certs-two-methods.42366/
How to check if your PC has the updated Secure Boot certificates on Windows 11, 10
Mauro Huculak February 18, 2026
ttps://pureinfotech.com/check-secure-boot-certificates-expiration-windows-11/
Windows 11 Forum Act now: Secure Boot certificates expire in June 2026
Jun 26, 2025〜
ttps://www.elevenforum.com/t/act-now-secure-boot-certificates-expire-in-june-2026.37372/
セキュアブートの証明書に関する初のグローバル大規模更新 (Web訳.. )
.. まだ準備がお済みでない場合は、選択肢の評価を開始し、今後数か月以内に組織全体に更新された証明書を展開するための準備を始めてください。この取り組みとその影響、そしてIT管理者として、..
影響を受けない:2025年に発売されるCopilot+ PC (?)
Expiring certificate
June 2026 Microsoft Corporation KEK CA 2011
June 2026 Microsoft Corporation UEFI CA 2011 (or third-party UEFI CA) ..
Oct 2026 Microsoft Windows Production PCA 2011
#285 CA 2011証明書
Windows UEFI CA 2023 有効期限 2035年6月
(2026.1.23〜 ) 2026.2.10
Microsoft UEFI CA 2023 有効期限 2038年6月
(2026.2.7〜 ) 2026.2.10
Microsoft Corporation UEFI CA 2023 ✕ ? --
Microsoft Option ROM UEFI CA 2023 有効期限 2038年10月
(2026.1.29〜 ) 2026.2.11
Microsoft Corporation KEK 2K CA 2023 有効期限 2038年3月
(2026.2.3〜 ) 2026.2.11
Microsoft Windows Production PCA 2011 – 2026年10月 (?)
Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 既存
Windows 11 Forum
Updating Microsoft Secure Boot keys before expiration in June 2026
Feb 13, 2024〜 Nov 13, 2025〜
ttps://www.elevenforum.com/t/updating-microsoft-secure-boot-keys-before-expiration-in-june-2026.22477/
[1] Windowsセキュア ブート証明書の有効期限と CA更新プログラム
元の発行日: 2025年6月26日
KB ID: 5062710 https://support.microsoft.com/ja-jp/topic/windows-...
Microsoft Corporation KEK CA 2011 有効期限 2026年6月 [1]
新しい証明書 Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011 有効期限 2026年10月 [1]
新しい証明書 Windows UEFI CA 2023
Microsoft UEFI CA 2011* 有効期限 2026年6月 [1]
新しい証明書 Microsoft UEFI CA 2023
Microsoft UEFI CA 2011* 有効期限 2026年6月 [1]
新しい証明書 Microsoft Option ROM UEFI CA 2023
..
CA 2011証明書 CA 2023 証明書
Windows UEFI CA 2023
Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 ? #?
Microsoft Corporation UEFI CA 2011
Windows UEFI CA 2023 有効期限 2035年6月
(n1 ) Microsoft Corporation KEK 2K CA 2023 [Act now]
(n2 ) Microsoft Corporation UEFI CA 2023 (Microsoft UEFI CA 2023 ? ) [Act now]
(n3 ) Microsoft Option ROM UEFI CA 2023 [Act now]
(n4 ) Windows UEFI CA 2023 [Act now]
Microsoft UEFI CA 2023 Linux用 Linuxでのみ必要 ?
MS社は OEMに対し、Microsoft UEFI CA 2023(主にLinuxで使用)はオプションであると通知済 ?
Microsoft Option ROM UEFI CA 2023
オプション ROM 署名付きファームウェアを搭載した一部のグラフィック カード用
一部の GPU で必要になる場合 あり ? 署名付きファームウェアを搭載した一部のグラフィック カード用
署名付きファームウェアを持つ一部のグラフィックカードやストレージコントローラーで必要になる場合あり
MS社は OEMに対し、Microsoft Option ROM UEFI CA 2023 はオプションであると通知済 ?
?
(o1 )-(n1 )、 (o2 )-(n2 )(n3 )、 (o3 )-(n4 )
(o1 ) Microsoft Corporation KEK CA 2011 有効期限 2026年6月 [Act now]
(o2 ) Microsoft Corporation UEFI CA 2011 (or third-party UEFI CA) .. [Act now]
(Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 )
(o3 ) Microsoft Windows Production PCA 2011 有効期限 2026年10月 [Act now]
(o4 ) Microsoft UEFI CA 2011* 有効期限 2026年6月
[2] Microsoftが管理する更新プログラムを使用したホーム ユーザー、企業、学校向けの Windowsデバイス
元の発行日: 2025年6月26日
KB ID: 5062711 https://support.microsoft.com/ja-jp/topic/microsof...
CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
元の発行日: 2023年5月9日 KB ID: 5025885
https://support.microsoft.com/ja-jp/topic/cve-2023...
#bkmk_windows_install_media
参考)
Win11のハードウェア要件を満たしていない世代PCに .. Win11を入れたPCが起動不能化
問題のWUにセキュアブート証明書更新プロセスが入っていて不具合を発症 ?
6月以降、PCが起動不能になる前に! 「Windows セキュリティ」でセキュア ブート証明書の状態を提示
2026年5月からはシステムアラートなどでも通知
樽井秀人 2026年4月6日
ttps://forest.watch.impress.co.jp/docs/news/2099260.html
新しいセキュアブート証明書が適用済みかWindowsセキュリティからわかるように
2026年4月3日 ニッチなPCゲーマーの環境構築Z ttps://www.nichepcgamer.com/archives/secure-boot-certificate-update-status-in-the-windows-security.html
緑
セキュアブートがオンになっており、必要なすべての証明書の更新が適用されました。これ以上の証明書の変更は必要ありません。
黄?
セキュアブートは有効ですが、このデバイスは更新が必要な古いブート信頼構成を使用しています。
赤?
セキュアブートは有効になっていますが、お使いのデバイスには既知の問題があります。リスクを軽減するため、Microsoftとパートナーが解決に取り組んでいる間、セキュアブート証明書の更新は一時的に停止されています。問題が解決され次第、更新は自動的に再開されます。
また、2026年5月以降、さらに改善が追加される予定 ..
Windows 11/10の Secure Boot更新、必要かどうかが一目で分かる新機能が追加
ソフトアンテナ 2026年4月3日
ttps://softantenna.com/blog/windows-10-11-secure-boot-warnings/
Windowsセキュリティアプリの「デバイスセキュリティ > セキュアブートに」、緑、黄、赤のバッジ ..
Windows 11 will now tell you if your Secure Boot certificates need attention
Abhijith M B April 3, 2026 ttps://www.windowslatest.com/2026/04/03/windows-11-will-now-tell-you-if-your-secure-boot-certificates-need-attention/
Windows 11、起動不能の恐れも セキュアブート証明書の期限が2026年6月に迫る
2026/04/01 杉山貴章
ttps://news.mynavi.jp/techplus/article/20260401-4280460/
Windows Latestは 3月30日(現地時間)、「Windows 11's Secure Boot 2023 updates are failing across some PCs, exposing a wider firmware problem」において、Windows 11のセキュアブート更新プログラムが一部のPCで失敗していることを報じた。..
Windows 11's Secure Boot 2023 updates are failing across some PCs, exposing a wider firmware problem
Ed Tittel March 30, 2026
ttps://www.windowslatest.com/2026/03/30/windows-11s-secure-boot-2023-updates-are-failing-across-some-pcs-exposing-a-wider-firmware-problem/
2026年6月にWindows 11が起動不能に ? 「セキュアブート証明書」期限切れリスクと対策
2026年03月30日 小林章彦,デジタルアドバンテージ
ttps://atmarkit.itmedia.co.jp/ait/articles/2603/30/news032.html
2026年6月セキュアブート証明書失効問題|古いグラボが起動不能になる前に確認すべきこと
ゲーミングスタイル 2026.3.29
ttps://gaming-st.com/trouble-settings/secure-boot-gpu-2026/
GPUのvBIOS
【特集】 PCが起動不能になる?6月に期限切れを迎えるセキュアブート証明書問題とは
2026/02/18〜
ttps://b.hatena.ne.jp/entry/s/pc.watch.impress.co.jp/docs/topic/feature/2086628.html
PCが起動不能になる? 6月に期限切れを迎えるセキュアブート証明書問題とは
劉 尭 2026年2月18日
ttps://pc.watch.impress.co.jp/docs/topic/feature/2086628.html
How to check if Windows 11 has applied the new Secure Boot 2023 certificates (replaces Secure Boot 2011)
Abhijith M B February 13, 2026
ttps://www.windowslatest.com/2026/02/13/how-to-check-if-windows-11-has-applied-the-new-secure-boot-2023-certificates-replaces-secure-boot-2011/
Do you need to update your BIOS right now ?
他
新しいセキュアブート証明書に更新されているか確認方法。すでにWindows UEFI CA 2023証明書がインストール済みか否か
2026年2月14日 ニッチなPCゲーマーの環境構築Z
ttps://www.nichepcgamer.com/archives/how-to-check-new-secure-boot-certificates-update.html
つまるところ、仮に新しいセキュアブート証明書がインストールされていなくてもPCは起動するとMicrosoftは述べています。(ただしセキュリティは低下します)
Microsoft will start refreshing Secure Boot certificates in March for Windows 11 and Windows 10 ESU users
It's all in the name of better security.
Devindra Hardawar February 11, 2026
ttps://www.engadget.com/computing/microsoft-will-start-refreshing-secure-boot-certificates-in-march-for-windows-11-and-windows-10-esu-users-170000777.html?src=rss
cjee21/ Check-UEFISecureBootVariables
ttps://github.com/cjee21/Check-UEFISecureBootVariables?tab=readme-ov-file
Check UEFI PK, KEK, DB and DBX.cmd ?
セキュア ブート証明書を確認する方法
Dell Technologies
ttps://www.dell.com/support/kbdoc/ja-jp/000385747/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2-%E3%83%96%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95
2011 Microsoft セキュアブート証明書の期限切れについて – Lenovo 法人向けPC
最終更新日:2026年02月03日 ttps://support.lenovo.com/jp/ja/solutions/ht518129-2011-microsoft-secure-boot-certificate-expiration-lenovo-commercial-pcs
2023 証明書のLenovo BIOS アップデートを適用後 ..
Reset to Factory Defaults (工場出荷状態のリセット) コマンド
マイクロソフト、「Windows」の月例パッチを公開--6月に失効する「Secure Boot」証明書を更新
Lance Whitney 翻訳校正:編集部 2026-01-16
ttps://japan.zdnet.com/article/35242786/
New Windows updates replace expiring Secure Boot certificates
Sergiu Gatlan January 13, 2026 ttps://www.bleepingcomputer.com/news/security/microsoft-rolls-out-new-secure-boot-certificates-for-windows-devices/
Windows セキュアブート証明書のバージョン・有効期限を調べる方法
Windows 技! 更新 2026年2月6日 ttps://windows-waza.com/how-to-check-the-version-and-expiration-date-of-windows-secure-boot-certificate/
2026/02/04 Ver 2.0.0.0 SBCertificateChecker_v2.0.zip
2026/02/06 Ver 2.1.0.0 ?
Windows 11が起動しなくなる?「セキュアブート2023年署名」問題と修復ツールの作成手順
更新 2026年2月13日 ttps://windows-waza.com/windows-11-wont-boot-secure-boot-2023-signature-issue-and-how-to-create-a-repair-tool/
セキュアブート回復メディア
Windowsのセキュアブート証明書、2026年6月に更新期日 未対応環境は将来リスクも
2026/02/11 Yoichi Yamashita
ttps://news.mynavi.jp/article/20260211-4107339/
Microsoft が一時削除していた「Secure Boot 更新の重要情報」が復活
ソフトアンテナ 2026年3月9日
ttps://softantenna.com/blog/windows-secure-boot-certificates-faq/
Windowsの安全性を支えるセキュアブートが更新へ〜古い証明書の期限切れに対応
ソフトアンテナ 2026年2月11日
ttps://softantenna.com/blog/windows-secure-boot-update/
Windows 11では必須要件
目次
1. なぜ証明書更新が必要?
2. ユーザーがやるべきことは?
本日公開されたWin11の月例更新プログラムではセキュアブート証明書を安全に配布するための判定ロジックが追加されました。Microsoftは今後、セキュアブート証明書の現在の状態をユーザーが状態を確認できる機能をWindowsセキュリティアプリに追加する予定です。
セキュアブート署名切れに備えた「Rufus 4.10」が公開 〜無料のブータブルUSB作成ツール
ダークモードにも対応
樽井秀人 2025年10月1日
ttps://forest.watch.impress.co.jp/docs/news/2050662.html
Windowsセキュアブート証明書の有効期限切れに要注意。ユーザーが知っておくべきことは?
ソフトアンテナ 2025年9月17日
ttps://softantenna.com/blog/windows-secure-boot-certifications-expires-in-june-2026/
2026年6月以降、「セキュアブート」証明書の失効に注意 〜Windowsを安全に起動できなくなる
Microsoftがサポートドキュメントで注意喚起
樽井秀人 2025年9月19日
ttps://forest.watch.impress.co.jp/docs/news/2048696.html
.. ほとんどのユーザー環境では「Windows Update」でセキュアブート証明書が自動的に配信される。..
...
Secure Boot Zertifikate
ttps://www.deskmodder.de/phpBB3/viewtopic.php?t=33544
?
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'CA 2023'
PK、KEK、DB、DBX
PK プラットフォームキー
KEK キー登録キー(キー交換キーとも)、Microsoft KEKやその他のOEM KEKが含まれる場合も
KEK セキュア ブート許可済みキー交換キー ?
KEK CA 2011→ KEK CA 2023 への移行は OEMが行う ?
DB 許可署名データベース
DBテーブル BIOSのファームウェア側に起動を許可しているブートローダーが登録されている
6月を過ぎるとDB/DBXを更新できなくなる ..
Netより
DBからCA2023の署名を削除してしまうと、.. 起動不能に陥ります
(dbt Authorized TimeStamps )
DBX 不許可署名データベース
DBXテーブル 起動を拒否するものが登録されている
6月を過ぎるとDB/DBXを更新できなくなる ..
DBX更新確認手順
参考) Secure Boot DBX更新確認手順 NEC
DBX更新確認手順 ttps://jpn.nec.com/fc/pdf/SecureBoot_DBX.pdf
Get-SecureBootUEFI dbx -Decoded ?
Windows更新後 BIOSの DBX格納領域を超え、一部機種で起動不能に Win10 ? 2506
ADK
CSM
Mosby pbatard/ Mosby ttps://github.com/pbatard/Mosby
Microsoft Open Source BIOS Yet-another ?
Mosby README.md ?
エクスポート/インポートも出来ないマザーボード Mosby使う ?
Netより
最近のノートPCの uefiBIOS Mosbyは動作しない ?
HPのその当時(2012年以降)の企業向けノートパソコンの何種類か そこに書かれているようなBIOS構成にはなっていないから、Mosbyは動作しないモデルが沢山ある ..
SB
vbios ?
Netより (5ch 【2026年6月】セキュアブート 余命1【有効期限】 等より )
更新の履歴 その他の更新プログラム
セキュアブート許可署名データベース(DB)の更新 (2026.1.23〜 )
2026/01/23に正しくインストールされました
Dynabookはビジネス向けモデルのサポートが手厚いメーカー .. 遠からず BIOS アップデート(DB更新)が提供されるかと ..
Dynabook(11世代)にKEKが降ってきた
セキュア ブート許可済みキー交換キー (KEK) の更新が来て再起動待ちになっていたので再起動したら、
Current UEFI DB Microsoft Option ROM UEFI CA 2023 (revoked: False) が赤の×マークから
緑のチェックマークに変更
Thinkpad Ryzen 3000番台にKEKが降ってきた
Microsoft Corporation KEK CA 2011のままでも期限はまだ切れていないのでDBにCA2023を追加するのが可能なようす
PCA2011とCA2011しか登録されていなければ、ブートローダーファイルの署名はPCA2011のままになる
更新は来たけどUEFIに適用する術がない ..
マザボにBIOS更新来た
参照) cjee21/ Check-UEFISecureBootVariables
ttps://github.com/cjee21/Check-UEFISecureBootVariables?tab=readme-ov-file
をダウンロードして Check UEFI PK, KEK, DB and DBX.cmdを管理者として実行
カレントが一時的な証明書、デフォルトが恒久的な証明書
カレントとデフォルト共に全て緑がベスト
カレントが全て緑がベター
第4世代、TPM無し、Win11、BIOS更新 2018年でストップ、セキュアブート ON
セキュアブートは自動で更新されますか?
ASUS BIOS更新 ..
DBに CA2023を追加するのに KEKが Microsoft Corporation KEK CA 2011であっても更新されるのは確認 ..
メーカー側がBIOSのアップデートを実行していたら古いのも何もなくファクトリーリセットの設定を全部一度に書き替える
順を追ってやっているのはWindows側から更新される場合だけ
こちらの場合には特に何も考える必要もない 現在のDBが更新される
Windows Updateで配信されたDBXが、BIOSで保持しているDBXより新しい場合「Restore Factory Defaults」を実行すると、BIOSの保持している古いDBXに戻ります。
このような場合、Windows Updateで配信されたDBXを再度適用するために、以下の作業を ..
(VAIOの手順より..)
BIOSアップデートもして有効になり、イベントの1801も出なくなった
ファクトリーリセットするとMosby系やOS上から
ブートローダーがCA2023になっているのにBIOSファクトリーデフォルトがCA2011のPCは最悪Windowsが起動しなくなります
デフォルトはメーカーがWindowsUpdate"経由で"アップデートするように指示していれば
"結果的に"WindowsUpdateを行うことで書き変わる
自作やBTOは .. 2023の証明書が組み込まれたBIOS/UEFIをダウンロードしてきてアップデート
DBにCA2023を追加して ブートローダーファイルにある署名も更新しているのはMS
各メーカーが今後6月までにBIOSのアップデートを提供して来るでしょう
ファクトリーリセットを自ら実行しなければ大丈夫
NVRAMクリアしたら消える(してはいけない.. )
UEFI 側は UEFI のアップデートで Flash ROM が更新されるので
証明書が消える事はない
メーカー BIOS のアップデートはの予定はないとの返答
BIOSメーカーによっては書き込み禁止の設定があるものも
マザーボードによってはWindowsから書き込まれた証明書をバックアップすることができる
知識がないならこのままUEFI画面に入って変更したりしなければ問題ない
Mosbyを使って .. 書き込んでマイクロソフトアカウントのデバイスページに表示されなくなって ..
VMware ..
確認した何種類かのモデルでは USBメモリからMosbyはブートしなかった
2023署名された bootmgfw.efi に置き換え ?
efisys.binを利用してブータブルメディアにする場合もあるが、この署名だって
古いとセキュアブート時にはDVDメディアからブートしない
現在イベントID 1801 Show Secure Boot update events.cmdで確認 Dbxだけ
更新されていた
Show Secure Boot update events.cmd
cjee21/ Check-UEFISecureBootVariables に同梱
ttps://github.com/cjee21/Check-UEFISecureBootVariables/archive/refs/heads/main.zip
ダウンロードリンク
Apply 2023 KEK, DB and bootmgfw update.cmd
ttps://github.com/cjee21/Check-UEFISecureBootVariables/blob/main/Apply%202023%20KEK%2C%20DB%20and%20bootmgfw%20update.cmd
Apply DBX update.cmd
Check UEFI PK, KEK, DB and DBX.ps1
カスタムのセキュアブートキーのインポート セキュアブートキーのクリア
ブートマネージャー bootmgfw.efi
古いノートPC BIOS更新がどうにもならない
起動時にチェックしていて起動不能に関係するのはCurrentとして表示されている内容
bitlockerは解除
Linux でもセキュアブートに対応したディストリがあったりする 対応していないのも
あるけど、その場合、オン、オフするのがメンドイ
BIOS更新してセキュアブートを初期化して入れ直ししたら出来た 6年前のマザーボードでも問題なかった
Windows Update セキュア ブート許可署名データベース(DB)の更新
KEKは来たけどDBはまだ来てない
昨日KEKが来て今日PowerShellで確認したらDBが更新されててDBXもあった
DBは何故かステルス配信だった これで完全 ?
ファクトリーリセットの状態がどのようになっているか
セキュアブートないと弾かれるのかな
TPM-WMI 1801エラー出たけど 最後はシャットダウンして
しばらく放置して立ち上げたら更新された
インテル第4世代のPCにセキュアブート許可済みキー交換キー(KEK)の更新が来た
Windows UEFI CA 2023 trueだが Microsoft Corporation KEK 2K CA 2023 は赤
current緑にできた
CurrentのDB,KEKは待ってるだけで勝手に2023に更新された
待ってるだけで ブートローダーも無事更新されました
bootmgfw signature CA : Windows UEFI CA 2023
bootmgfw SVN : 7.0
TPM-WMI イベントID 1040
チェックの詳細 C:\WINDOWS\Logs\MeasuredBoot\0000000797-0000000000.json
無視可 ?
セキュアブートができない, Windows起動しようとしてBios画面に戻るのループ
今はCSMにしてセキュアブート無効でしか起動できん用になった
今月のWindows Update入れて再起動したら ブートマネージャーの署名の発行者が
Windows UEFI CA 2023に変わってた
イベントビューアー(ローカル)→ 情報 ID1808 中華mini-PC KB5079473で入った
BIOSの更新はなかったが、KEK(2月)→ DBx(今月) で証明書更新完了 12月に
メーカー名.systemと言うアップデートがあったから多分これで更新できたみたい
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
ここに| 0x0002 | Apply DBX updates. .
Dellの非対応PC Win11 PK持ってるDellが署名してくれないからKEK入らない
イベント1803 TPM-WMI
Dellが署名してくれないんじゃなくて、PKが期限切れになってるからDellでもKEK署名できないんだ
MSは、OEMにBIOSへの変更を追加する期限を昨年までとしていました ?
ちょっと前までのMSIとそのOEM(Mouseとか) ..
MSI わりと最近までAllow Executeをデフォルトにしてました..
まだWindowsのインストールメディアなどは、ブートローダーファイルにある署名がWindows UEFI CA 2023になっていないからセキュアブートが有効だとそれだとブート出来なくなるよ
これを緑に変更してしまった意味は知っておいて欲しい
Current UEFI DBX
Windows Bootmgr SVN :
Windows cdboot SVN :
Windows wdsmgfw SVN :
なるほど確かにインストールメディアからブートできない
とりあえずまたキーをデフォルトに戻した
BIOS側のセキュアブート設定でCurrentの内容を弄れるようになっていたらDBとDBXの内容をマニュアル的に自分で変更するのも可能 ..
11 ID:SVqy14zw
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
レジストリ値を設定後に、これを3回実行後にパソコンを再起動したら全て適用された ..
"0x5944"とは、 以下の指定ビットを全て合成した値..
20 ID:SVqy14zw
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5946 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
レジストリ値を設定後に、これを3回実行後にパソコンを再起動したら全て適用された
#?
PKfail
なにもしてないけど KEKがきた
Copilotに聞いたら SecureBoot起動不可のリスクを考えデメリットなんか無いからBIOS 10.45Beta(CA2023)にBIOS up
SecureBoot無効になりKeyが全部0になってて慌てた
SecureBoot無効なら起動するがと Copilotに聞いた
よくあることだから心配するな、リカバリより BIOS10.45(CA2023)を入れてファクトリーデフォルトをインストしたら解決するからということで実行したら何事もなかったように起動
310
BIOSのカスタムブートオプションに.efiファイルを指定して起動させる方法が用意されているから
そこから\EFI\Microsoft\Boot\SecureBootRecovery.efiを指定して起動したら良いんだわ .. ?
MSIの自作用マザーって PCR7バインド不可になる問題を何年も前からずっと放置 ..?
331 KB5086672で無事完了 (#最善状態 ? )
DO NOT TRUST - AMI Test PK
√ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI
X Windows UEFI CA 2023 X Microsoft UEFI CA 2023
X Microsoft Corporation KEK 2K CA 2023
X Microsoft Option ROM UEFI CA 2023
#Microsoft Corporation UEFI CA 2023 未 --
Microsoftの新しいセキュアブート証明書ページの更新ページによると、4月8日にWindowsセキュリティで証明書の更新状況を確認出来るようになるとのこと (日本時間 4月9日? )
368
HPが BIOSを更新してくれない
影響を受けるプラットフォームと最小BIOSバージョンの一覧
TBD表記 対応外 ?
432 Surface Pro
496
セキュアブート更新用に BIOSアプデしたら Windowsのライセンス消えた
Win10からのライセンスでBIOS更新してライセンス剥奪された ブートマネージャーのエラーも消えない
デバイスセキュリティにセキュアブートの項目出現
HP BIOS and System Firmware (T90)が HP サポートアシストの更新に降って来て綺麗に更新された
古いメーカー製PCだとBIOS更新降って来ないからセキュアブート切るしかない
夏に新しいPC買う予定 ..
少し前メーカー製PCによってはBIOSのメニューにカスタムの選択そのものが無くて
BIOSデフォルトのセキュアブートキーを再読み込みしかできない物もある
UEFI設定入って工場出荷状態にして証明書が消えるかどうかも仕様次第 ..
セキュアブートはいろいろ問題が多い仕組みなのだけど代替手段がないから
主要なゲームでは有効にしていないとチートとみなされるし
個人に関係ないものの、企業が結ぶ保険契約ではマストとされている
そう簡単にOFFにできない事情がある
642
HP ノートPC Mosby動かない
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
...
533
310
庶民向けPCハードウェアなら 無効化を猶予すべき製品と考えるのが妥当 .. ?
Bitlockerを使っていなくて、セキュアブート必須のソフトも使っていない人は何も慌てる必要はない TPMや
CPU内の隔離空間を使うソフトウェアである WindowsHello認証 ローカルパスキー 同期パスキー が使えなくなる .. ?
Dell Technologies Dell
Secure Boot 関連メモ
Secure Boot証明書 Secure Boot certificates
2026年6月 セキュアブート証明書の有効期限切れ 予測
https://seesaawiki.jp/windows10memo/d/2026%c7%af6%...
Windows Secure Boot-Zertifikate laufen 2026 ab, alte Zertifikate werden ersetzt
[ 2. Update: Schrittweise Bereitstellung ]
Kommentare einblenden
moinmoin 14. Januar 2026 ttps://www.deskmodder.de/blog/2026/01/14/windows-secure-boot-zertifikate-laufen-2026-ab-alte-zertifikate-werden-ersetzt/
Windows セキュアブート証明書は 2026年に期限切れとなり、古い証明書は置き換えられます
[第2 回目の更新: 段階的な展開] (Web訳)より ..
Win10 または Win11をインストールし、定期的に Windows Updateを実行し、セキュアブートを有効にしている場合は、コンシューマー版 (Home、Pro、Education) ではこの点について心配する必要はありません。アップデートは Windows Update経由で行われます。セキュアブートが有効になっているかどうかを確認するには、Windows キー + R を押し、msinfo32 と入力して「セキュアブート」の項目を探します。この項目は「オン」になっている必要があります。そうでない場合、この機能は BIOSで無効になっています。
..
キーの階層構造
プラットフォームキー(PK)、次にキー登録キー(KEK)(キー交換キーとも)、KEKには、
Microsoft KEKやその他のOEM KEKが含まれる場合も。
許可署名データベース(DB)と不許可署名データベース(DBX)、
DBには、MicrosoftとOEMが管理する証明書が含まれており、DBXはMicrosoftによって最新の
失効情報で更新されます。
KEKを持つすべてのエンティティは、DBとDBXを更新できます。
..
PowerShell を使用して確認できます。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
true が表示されている場合は、新しい証明書がすでに含まれています。
Windows キー + R を押し、msinfo32 → セキュアブートの状態 有効
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
False
..
(2026年1月14日更新) Win10およびWin11(おそらくバージョン26H1も)の1月のセキュリティアップデートに伴い、Microsoftはセキュアブート証明書の更新を開始しました。
1月以降、デバイスのチェックを段階的に実施し、問題がなければ証明書が置き換えられます。そのため、他に何もする必要はありません。自動的に行われます。
今回のアップデート以降、.. 新しいセキュアブート証明書を自動的に受信できるデバイスを識別する、信頼性の高いデバイスデータのサブセットが含まれるようになります。デバイスは、十分な更新成功信号を示した場合にのみ新しい証明書を受信するため、安全かつ段階的な展開 保証 ..
#PowerShell 管理者として実行
タスクバーの検索欄 PowerShell→ 管理者として実行を選択
PS C:\WINDOWS\system32>Confirm-SecureBootUEFI
True
1.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
2.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023'
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
3.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
イベント 1801 これは、更新された証明書がデバイスのファームウェアに適用されなかったことを示すエラー イベント
該当ラベルによる BIOSアップデートが行われると、エラーメッセージID 1801は1808に変更されます
#Netより
イベントID:1801 AvailableUpdates 0x5944 1808となりCA 2023更新成功した ..
BIOS側更新がされない1801エラー インテルNUC ?
Windows 11 Forum
Did you manually update your Secure Boot Keys ?
May 26, 2025〜
ttps://www.elevenforum.com/t/did-you-manually-update-your-secure-boot-keys.36443/
Windows 11 Forum
Error 1801 Telling me to update my Secure Boot CA/Keys ?
Oct 14, 2025〜
ttps://www.elevenforum.com/t/error-1801-telling-me-to-update-my-secure-boot-ca-keys.40910/
#5 Event 1801/TPM-WMI
#18
Netより
2026.6.27 ? UEFI CA 2011証明書失効 ? UEFI CA 2023 対応が必要 ?
KB5036210: Deploying Windows UEFI CA 2023 certificate to Secure Boot
Allowed Signature Database (DB)
ttps://support.microsoft.com/en-us/topic/kb5036210-deploying-windows-uefi-ca-2023-certificate-to-secure-boot-allowed-signature-database-db-a68a3eae-292b-4224-9490-299e303b450b
Windows 11 Forum [INFORMATION] Secure Boot : Windows UEFI CA 2023 Update
2025.10.24〜
ttps://www.elevenforum.com/t/information-secure-boot-windows-uefi-ca-2023-update.41267/
#2
セキュア ブート Windows UEFI CA 2023 アップデートは、2026年6月までに Windows Update 経由で段階的に配信される予定 (Web訳)
Windows 11 Forum Secure boot update HowTo
2025.11.14〜
ttps://www.elevenforum.com/t/secure-boot-update-howto.41997/
Windows 11 Forum How to check your Secure Boot certs (two methods)
2025.11.24〜
ttps://www.elevenforum.com/t/how-to-check-your-secure-boot-certs-two-methods.42366/
How to check if your PC has the updated Secure Boot certificates on Windows 11, 10
Mauro Huculak February 18, 2026
ttps://pureinfotech.com/check-secure-boot-certificates-expiration-windows-11/
Windows 11 Forum Act now: Secure Boot certificates expire in June 2026
Jun 26, 2025〜
ttps://www.elevenforum.com/t/act-now-secure-boot-certificates-expire-in-june-2026.37372/
セキュアブートの証明書に関する初のグローバル大規模更新 (Web訳.. )
.. まだ準備がお済みでない場合は、選択肢の評価を開始し、今後数か月以内に組織全体に更新された証明書を展開するための準備を始めてください。この取り組みとその影響、そしてIT管理者として、..
影響を受けない:2025年に発売されるCopilot+ PC (?)
Expiring certificate
June 2026 Microsoft Corporation KEK CA 2011
June 2026 Microsoft Corporation UEFI CA 2011 (or third-party UEFI CA) ..
Oct 2026 Microsoft Windows Production PCA 2011
#285 CA 2011証明書
Windows UEFI CA 2023 有効期限 2035年6月
(2026.1.23〜 ) 2026.2.10
Microsoft UEFI CA 2023 有効期限 2038年6月
(2026.2.7〜 ) 2026.2.10
Microsoft Corporation UEFI CA 2023 ✕ ? --
Microsoft Option ROM UEFI CA 2023 有効期限 2038年10月
(2026.1.29〜 ) 2026.2.11
Microsoft Corporation KEK 2K CA 2023 有効期限 2038年3月
(2026.2.3〜 ) 2026.2.11
Microsoft Windows Production PCA 2011 – 2026年10月 (?)
Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 既存
Windows 11 Forum
Updating Microsoft Secure Boot keys before expiration in June 2026
Feb 13, 2024〜 Nov 13, 2025〜
ttps://www.elevenforum.com/t/updating-microsoft-secure-boot-keys-before-expiration-in-june-2026.22477/
[1] Windowsセキュア ブート証明書の有効期限と CA更新プログラム
元の発行日: 2025年6月26日
KB ID: 5062710 https://support.microsoft.com/ja-jp/topic/windows-...
Microsoft Corporation KEK CA 2011 有効期限 2026年6月 [1]
新しい証明書 Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011 有効期限 2026年10月 [1]
新しい証明書 Windows UEFI CA 2023
Microsoft UEFI CA 2011* 有効期限 2026年6月 [1]
新しい証明書 Microsoft UEFI CA 2023
Microsoft UEFI CA 2011* 有効期限 2026年6月 [1]
新しい証明書 Microsoft Option ROM UEFI CA 2023
..
CA 2011証明書 CA 2023 証明書
Windows UEFI CA 2023
Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 ? #?
Microsoft Corporation UEFI CA 2011
Windows UEFI CA 2023 有効期限 2035年6月
(n1 ) Microsoft Corporation KEK 2K CA 2023 [Act now]
(n2 ) Microsoft Corporation UEFI CA 2023 (Microsoft UEFI CA 2023 ? ) [Act now]
(n3 ) Microsoft Option ROM UEFI CA 2023 [Act now]
(n4 ) Windows UEFI CA 2023 [Act now]
Microsoft UEFI CA 2023 Linux用 Linuxでのみ必要 ?
MS社は OEMに対し、Microsoft UEFI CA 2023(主にLinuxで使用)はオプションであると通知済 ?
Microsoft Option ROM UEFI CA 2023
オプション ROM 署名付きファームウェアを搭載した一部のグラフィック カード用
一部の GPU で必要になる場合 あり ? 署名付きファームウェアを搭載した一部のグラフィック カード用
署名付きファームウェアを持つ一部のグラフィックカードやストレージコントローラーで必要になる場合あり
MS社は OEMに対し、Microsoft Option ROM UEFI CA 2023 はオプションであると通知済 ?
?
(o1 )-(n1 )、 (o2 )-(n2 )(n3 )、 (o3 )-(n4 )
(o1 ) Microsoft Corporation KEK CA 2011 有効期限 2026年6月 [Act now]
(o2 ) Microsoft Corporation UEFI CA 2011 (or third-party UEFI CA) .. [Act now]
(Microsoft Corporation UEFI CA 2011 有効期限 2026年6月 )
(o3 ) Microsoft Windows Production PCA 2011 有効期限 2026年10月 [Act now]
(o4 ) Microsoft UEFI CA 2011* 有効期限 2026年6月
[2] Microsoftが管理する更新プログラムを使用したホーム ユーザー、企業、学校向けの Windowsデバイス
元の発行日: 2025年6月26日
KB ID: 5062711 https://support.microsoft.com/ja-jp/topic/microsof...
CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
元の発行日: 2023年5月9日 KB ID: 5025885
https://support.microsoft.com/ja-jp/topic/cve-2023...
#bkmk_windows_install_media
参考)
Win11のハードウェア要件を満たしていない世代PCに .. Win11を入れたPCが起動不能化
問題のWUにセキュアブート証明書更新プロセスが入っていて不具合を発症 ?
6月以降、PCが起動不能になる前に! 「Windows セキュリティ」でセキュア ブート証明書の状態を提示
2026年5月からはシステムアラートなどでも通知
樽井秀人 2026年4月6日
ttps://forest.watch.impress.co.jp/docs/news/2099260.html
新しいセキュアブート証明書が適用済みかWindowsセキュリティからわかるように
2026年4月3日 ニッチなPCゲーマーの環境構築Z ttps://www.nichepcgamer.com/archives/secure-boot-certificate-update-status-in-the-windows-security.html
緑
セキュアブートがオンになっており、必要なすべての証明書の更新が適用されました。これ以上の証明書の変更は必要ありません。
黄?
セキュアブートは有効ですが、このデバイスは更新が必要な古いブート信頼構成を使用しています。
赤?
セキュアブートは有効になっていますが、お使いのデバイスには既知の問題があります。リスクを軽減するため、Microsoftとパートナーが解決に取り組んでいる間、セキュアブート証明書の更新は一時的に停止されています。問題が解決され次第、更新は自動的に再開されます。
また、2026年5月以降、さらに改善が追加される予定 ..
Windows 11/10の Secure Boot更新、必要かどうかが一目で分かる新機能が追加
ソフトアンテナ 2026年4月3日
ttps://softantenna.com/blog/windows-10-11-secure-boot-warnings/
Windowsセキュリティアプリの「デバイスセキュリティ > セキュアブートに」、緑、黄、赤のバッジ ..
Windows 11 will now tell you if your Secure Boot certificates need attention
Abhijith M B April 3, 2026 ttps://www.windowslatest.com/2026/04/03/windows-11-will-now-tell-you-if-your-secure-boot-certificates-need-attention/
Windows 11、起動不能の恐れも セキュアブート証明書の期限が2026年6月に迫る
2026/04/01 杉山貴章
ttps://news.mynavi.jp/techplus/article/20260401-4280460/
Windows Latestは 3月30日(現地時間)、「Windows 11's Secure Boot 2023 updates are failing across some PCs, exposing a wider firmware problem」において、Windows 11のセキュアブート更新プログラムが一部のPCで失敗していることを報じた。..
Windows 11's Secure Boot 2023 updates are failing across some PCs, exposing a wider firmware problem
Ed Tittel March 30, 2026
ttps://www.windowslatest.com/2026/03/30/windows-11s-secure-boot-2023-updates-are-failing-across-some-pcs-exposing-a-wider-firmware-problem/
2026年6月にWindows 11が起動不能に ? 「セキュアブート証明書」期限切れリスクと対策
2026年03月30日 小林章彦,デジタルアドバンテージ
ttps://atmarkit.itmedia.co.jp/ait/articles/2603/30/news032.html
2026年6月セキュアブート証明書失効問題|古いグラボが起動不能になる前に確認すべきこと
ゲーミングスタイル 2026.3.29
ttps://gaming-st.com/trouble-settings/secure-boot-gpu-2026/
GPUのvBIOS
【特集】 PCが起動不能になる?6月に期限切れを迎えるセキュアブート証明書問題とは
2026/02/18〜
ttps://b.hatena.ne.jp/entry/s/pc.watch.impress.co.jp/docs/topic/feature/2086628.html
PCが起動不能になる? 6月に期限切れを迎えるセキュアブート証明書問題とは
劉 尭 2026年2月18日
ttps://pc.watch.impress.co.jp/docs/topic/feature/2086628.html
How to check if Windows 11 has applied the new Secure Boot 2023 certificates (replaces Secure Boot 2011)
Abhijith M B February 13, 2026
ttps://www.windowslatest.com/2026/02/13/how-to-check-if-windows-11-has-applied-the-new-secure-boot-2023-certificates-replaces-secure-boot-2011/
Do you need to update your BIOS right now ?
他
新しいセキュアブート証明書に更新されているか確認方法。すでにWindows UEFI CA 2023証明書がインストール済みか否か
2026年2月14日 ニッチなPCゲーマーの環境構築Z
ttps://www.nichepcgamer.com/archives/how-to-check-new-secure-boot-certificates-update.html
つまるところ、仮に新しいセキュアブート証明書がインストールされていなくてもPCは起動するとMicrosoftは述べています。(ただしセキュリティは低下します)
Microsoft will start refreshing Secure Boot certificates in March for Windows 11 and Windows 10 ESU users
It's all in the name of better security.
Devindra Hardawar February 11, 2026
ttps://www.engadget.com/computing/microsoft-will-start-refreshing-secure-boot-certificates-in-march-for-windows-11-and-windows-10-esu-users-170000777.html?src=rss
cjee21/ Check-UEFISecureBootVariables
ttps://github.com/cjee21/Check-UEFISecureBootVariables?tab=readme-ov-file
Check UEFI PK, KEK, DB and DBX.cmd ?
セキュア ブート証明書を確認する方法
Dell Technologies
ttps://www.dell.com/support/kbdoc/ja-jp/000385747/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2-%E3%83%96%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95
2011 Microsoft セキュアブート証明書の期限切れについて – Lenovo 法人向けPC
最終更新日:2026年02月03日 ttps://support.lenovo.com/jp/ja/solutions/ht518129-2011-microsoft-secure-boot-certificate-expiration-lenovo-commercial-pcs
2023 証明書のLenovo BIOS アップデートを適用後 ..
Reset to Factory Defaults (工場出荷状態のリセット) コマンド
マイクロソフト、「Windows」の月例パッチを公開--6月に失効する「Secure Boot」証明書を更新
Lance Whitney 翻訳校正:編集部 2026-01-16
ttps://japan.zdnet.com/article/35242786/
New Windows updates replace expiring Secure Boot certificates
Sergiu Gatlan January 13, 2026 ttps://www.bleepingcomputer.com/news/security/microsoft-rolls-out-new-secure-boot-certificates-for-windows-devices/
Windows セキュアブート証明書のバージョン・有効期限を調べる方法
Windows 技! 更新 2026年2月6日 ttps://windows-waza.com/how-to-check-the-version-and-expiration-date-of-windows-secure-boot-certificate/
2026/02/04 Ver 2.0.0.0 SBCertificateChecker_v2.0.zip
2026/02/06 Ver 2.1.0.0 ?
Windows 11が起動しなくなる?「セキュアブート2023年署名」問題と修復ツールの作成手順
更新 2026年2月13日 ttps://windows-waza.com/windows-11-wont-boot-secure-boot-2023-signature-issue-and-how-to-create-a-repair-tool/
セキュアブート回復メディア
Windowsのセキュアブート証明書、2026年6月に更新期日 未対応環境は将来リスクも
2026/02/11 Yoichi Yamashita
ttps://news.mynavi.jp/article/20260211-4107339/
Microsoft が一時削除していた「Secure Boot 更新の重要情報」が復活
ソフトアンテナ 2026年3月9日
ttps://softantenna.com/blog/windows-secure-boot-certificates-faq/
Windowsの安全性を支えるセキュアブートが更新へ〜古い証明書の期限切れに対応
ソフトアンテナ 2026年2月11日
ttps://softantenna.com/blog/windows-secure-boot-update/
Windows 11では必須要件
目次
1. なぜ証明書更新が必要?
2. ユーザーがやるべきことは?
本日公開されたWin11の月例更新プログラムではセキュアブート証明書を安全に配布するための判定ロジックが追加されました。Microsoftは今後、セキュアブート証明書の現在の状態をユーザーが状態を確認できる機能をWindowsセキュリティアプリに追加する予定です。
セキュアブート署名切れに備えた「Rufus 4.10」が公開 〜無料のブータブルUSB作成ツール
ダークモードにも対応
樽井秀人 2025年10月1日
ttps://forest.watch.impress.co.jp/docs/news/2050662.html
Windowsセキュアブート証明書の有効期限切れに要注意。ユーザーが知っておくべきことは?
ソフトアンテナ 2025年9月17日
ttps://softantenna.com/blog/windows-secure-boot-certifications-expires-in-june-2026/
2026年6月以降、「セキュアブート」証明書の失効に注意 〜Windowsを安全に起動できなくなる
Microsoftがサポートドキュメントで注意喚起
樽井秀人 2025年9月19日
ttps://forest.watch.impress.co.jp/docs/news/2048696.html
.. ほとんどのユーザー環境では「Windows Update」でセキュアブート証明書が自動的に配信される。..
...
Secure Boot Zertifikate
ttps://www.deskmodder.de/phpBB3/viewtopic.php?t=33544
?
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'CA 2023'
PK、KEK、DB、DBX
PK プラットフォームキー
KEK キー登録キー(キー交換キーとも)、Microsoft KEKやその他のOEM KEKが含まれる場合も
KEK セキュア ブート許可済みキー交換キー ?
KEK CA 2011→ KEK CA 2023 への移行は OEMが行う ?
DB 許可署名データベース
DBテーブル BIOSのファームウェア側に起動を許可しているブートローダーが登録されている
6月を過ぎるとDB/DBXを更新できなくなる ..
Netより
DBからCA2023の署名を削除してしまうと、.. 起動不能に陥ります
(dbt Authorized TimeStamps )
DBX 不許可署名データベース
DBXテーブル 起動を拒否するものが登録されている
6月を過ぎるとDB/DBXを更新できなくなる ..
DBX更新確認手順
参考) Secure Boot DBX更新確認手順 NEC
DBX更新確認手順 ttps://jpn.nec.com/fc/pdf/SecureBoot_DBX.pdf
Get-SecureBootUEFI dbx -Decoded ?
Windows更新後 BIOSの DBX格納領域を超え、一部機種で起動不能に Win10 ? 2506
ADK
CSM
Mosby pbatard/ Mosby ttps://github.com/pbatard/Mosby
Microsoft Open Source BIOS Yet-another ?
Mosby README.md ?
エクスポート/インポートも出来ないマザーボード Mosby使う ?
Netより
最近のノートPCの uefiBIOS Mosbyは動作しない ?
HPのその当時(2012年以降)の企業向けノートパソコンの何種類か そこに書かれているようなBIOS構成にはなっていないから、Mosbyは動作しないモデルが沢山ある ..
SB
vbios ?
Netより (5ch 【2026年6月】セキュアブート 余命1【有効期限】 等より )
更新の履歴 その他の更新プログラム
セキュアブート許可署名データベース(DB)の更新 (2026.1.23〜 )
2026/01/23に正しくインストールされました
Dynabookはビジネス向けモデルのサポートが手厚いメーカー .. 遠からず BIOS アップデート(DB更新)が提供されるかと ..
Dynabook(11世代)にKEKが降ってきた
セキュア ブート許可済みキー交換キー (KEK) の更新が来て再起動待ちになっていたので再起動したら、
Current UEFI DB Microsoft Option ROM UEFI CA 2023 (revoked: False) が赤の×マークから
緑のチェックマークに変更
Thinkpad Ryzen 3000番台にKEKが降ってきた
Microsoft Corporation KEK CA 2011のままでも期限はまだ切れていないのでDBにCA2023を追加するのが可能なようす
PCA2011とCA2011しか登録されていなければ、ブートローダーファイルの署名はPCA2011のままになる
更新は来たけどUEFIに適用する術がない ..
マザボにBIOS更新来た
参照) cjee21/ Check-UEFISecureBootVariables
ttps://github.com/cjee21/Check-UEFISecureBootVariables?tab=readme-ov-file
をダウンロードして Check UEFI PK, KEK, DB and DBX.cmdを管理者として実行
カレントが一時的な証明書、デフォルトが恒久的な証明書
カレントとデフォルト共に全て緑がベスト
カレントが全て緑がベター
第4世代、TPM無し、Win11、BIOS更新 2018年でストップ、セキュアブート ON
セキュアブートは自動で更新されますか?
ASUS BIOS更新 ..
DBに CA2023を追加するのに KEKが Microsoft Corporation KEK CA 2011であっても更新されるのは確認 ..
メーカー側がBIOSのアップデートを実行していたら古いのも何もなくファクトリーリセットの設定を全部一度に書き替える
順を追ってやっているのはWindows側から更新される場合だけ
こちらの場合には特に何も考える必要もない 現在のDBが更新される
Windows Updateで配信されたDBXが、BIOSで保持しているDBXより新しい場合「Restore Factory Defaults」を実行すると、BIOSの保持している古いDBXに戻ります。
このような場合、Windows Updateで配信されたDBXを再度適用するために、以下の作業を ..
(VAIOの手順より..)
BIOSアップデートもして有効になり、イベントの1801も出なくなった
ファクトリーリセットするとMosby系やOS上から
ブートローダーがCA2023になっているのにBIOSファクトリーデフォルトがCA2011のPCは最悪Windowsが起動しなくなります
デフォルトはメーカーがWindowsUpdate"経由で"アップデートするように指示していれば
"結果的に"WindowsUpdateを行うことで書き変わる
自作やBTOは .. 2023の証明書が組み込まれたBIOS/UEFIをダウンロードしてきてアップデート
DBにCA2023を追加して ブートローダーファイルにある署名も更新しているのはMS
各メーカーが今後6月までにBIOSのアップデートを提供して来るでしょう
ファクトリーリセットを自ら実行しなければ大丈夫
NVRAMクリアしたら消える(してはいけない.. )
UEFI 側は UEFI のアップデートで Flash ROM が更新されるので
証明書が消える事はない
メーカー BIOS のアップデートはの予定はないとの返答
BIOSメーカーによっては書き込み禁止の設定があるものも
マザーボードによってはWindowsから書き込まれた証明書をバックアップすることができる
知識がないならこのままUEFI画面に入って変更したりしなければ問題ない
Mosbyを使って .. 書き込んでマイクロソフトアカウントのデバイスページに表示されなくなって ..
VMware ..
確認した何種類かのモデルでは USBメモリからMosbyはブートしなかった
2023署名された bootmgfw.efi に置き換え ?
efisys.binを利用してブータブルメディアにする場合もあるが、この署名だって
古いとセキュアブート時にはDVDメディアからブートしない
現在イベントID 1801 Show Secure Boot update events.cmdで確認 Dbxだけ
更新されていた
Show Secure Boot update events.cmd
cjee21/ Check-UEFISecureBootVariables に同梱
ttps://github.com/cjee21/Check-UEFISecureBootVariables/archive/refs/heads/main.zip
ダウンロードリンク
Apply 2023 KEK, DB and bootmgfw update.cmd
ttps://github.com/cjee21/Check-UEFISecureBootVariables/blob/main/Apply%202023%20KEK%2C%20DB%20and%20bootmgfw%20update.cmd
Apply DBX update.cmd
Check UEFI PK, KEK, DB and DBX.ps1
カスタムのセキュアブートキーのインポート セキュアブートキーのクリア
ブートマネージャー bootmgfw.efi
古いノートPC BIOS更新がどうにもならない
起動時にチェックしていて起動不能に関係するのはCurrentとして表示されている内容
bitlockerは解除
Linux でもセキュアブートに対応したディストリがあったりする 対応していないのも
あるけど、その場合、オン、オフするのがメンドイ
BIOS更新してセキュアブートを初期化して入れ直ししたら出来た 6年前のマザーボードでも問題なかった
Windows Update セキュア ブート許可署名データベース(DB)の更新
KEKは来たけどDBはまだ来てない
昨日KEKが来て今日PowerShellで確認したらDBが更新されててDBXもあった
DBは何故かステルス配信だった これで完全 ?
ファクトリーリセットの状態がどのようになっているか
セキュアブートないと弾かれるのかな
TPM-WMI 1801エラー出たけど 最後はシャットダウンして
しばらく放置して立ち上げたら更新された
インテル第4世代のPCにセキュアブート許可済みキー交換キー(KEK)の更新が来た
Windows UEFI CA 2023 trueだが Microsoft Corporation KEK 2K CA 2023 は赤
current緑にできた
CurrentのDB,KEKは待ってるだけで勝手に2023に更新された
待ってるだけで ブートローダーも無事更新されました
bootmgfw signature CA : Windows UEFI CA 2023
bootmgfw SVN : 7.0
TPM-WMI イベントID 1040
チェックの詳細 C:\WINDOWS\Logs\MeasuredBoot\0000000797-0000000000.json
無視可 ?
セキュアブートができない, Windows起動しようとしてBios画面に戻るのループ
今はCSMにしてセキュアブート無効でしか起動できん用になった
今月のWindows Update入れて再起動したら ブートマネージャーの署名の発行者が
Windows UEFI CA 2023に変わってた
イベントビューアー(ローカル)→ 情報 ID1808 中華mini-PC KB5079473で入った
BIOSの更新はなかったが、KEK(2月)→ DBx(今月) で証明書更新完了 12月に
メーカー名.systemと言うアップデートがあったから多分これで更新できたみたい
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
ここに| 0x0002 | Apply DBX updates. .
Dellの非対応PC Win11 PK持ってるDellが署名してくれないからKEK入らない
イベント1803 TPM-WMI
Dellが署名してくれないんじゃなくて、PKが期限切れになってるからDellでもKEK署名できないんだ
MSは、OEMにBIOSへの変更を追加する期限を昨年までとしていました ?
ちょっと前までのMSIとそのOEM(Mouseとか) ..
MSI わりと最近までAllow Executeをデフォルトにしてました..
まだWindowsのインストールメディアなどは、ブートローダーファイルにある署名がWindows UEFI CA 2023になっていないからセキュアブートが有効だとそれだとブート出来なくなるよ
これを緑に変更してしまった意味は知っておいて欲しい
Current UEFI DBX
Windows Bootmgr SVN :
Windows cdboot SVN :
Windows wdsmgfw SVN :
なるほど確かにインストールメディアからブートできない
とりあえずまたキーをデフォルトに戻した
BIOS側のセキュアブート設定でCurrentの内容を弄れるようになっていたらDBとDBXの内容をマニュアル的に自分で変更するのも可能 ..
11 ID:SVqy14zw
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
レジストリ値を設定後に、これを3回実行後にパソコンを再起動したら全て適用された ..
"0x5944"とは、 以下の指定ビットを全て合成した値..
20 ID:SVqy14zw
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5946 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
レジストリ値を設定後に、これを3回実行後にパソコンを再起動したら全て適用された
#?
PKfail
なにもしてないけど KEKがきた
Copilotに聞いたら SecureBoot起動不可のリスクを考えデメリットなんか無いからBIOS 10.45Beta(CA2023)にBIOS up
SecureBoot無効になりKeyが全部0になってて慌てた
SecureBoot無効なら起動するがと Copilotに聞いた
よくあることだから心配するな、リカバリより BIOS10.45(CA2023)を入れてファクトリーデフォルトをインストしたら解決するからということで実行したら何事もなかったように起動
310
BIOSのカスタムブートオプションに.efiファイルを指定して起動させる方法が用意されているから
そこから\EFI\Microsoft\Boot\SecureBootRecovery.efiを指定して起動したら良いんだわ .. ?
MSIの自作用マザーって PCR7バインド不可になる問題を何年も前からずっと放置 ..?
331 KB5086672で無事完了 (#最善状態 ? )
DO NOT TRUST - AMI Test PK
√ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI
X Windows UEFI CA 2023 X Microsoft UEFI CA 2023
X Microsoft Corporation KEK 2K CA 2023
X Microsoft Option ROM UEFI CA 2023
#Microsoft Corporation UEFI CA 2023 未 --
Microsoftの新しいセキュアブート証明書ページの更新ページによると、4月8日にWindowsセキュリティで証明書の更新状況を確認出来るようになるとのこと (日本時間 4月9日? )
368
HPが BIOSを更新してくれない
影響を受けるプラットフォームと最小BIOSバージョンの一覧
TBD表記 対応外 ?
432 Surface Pro
496
セキュアブート更新用に BIOSアプデしたら Windowsのライセンス消えた
Win10からのライセンスでBIOS更新してライセンス剥奪された ブートマネージャーのエラーも消えない
デバイスセキュリティにセキュアブートの項目出現
HP BIOS and System Firmware (T90)が HP サポートアシストの更新に降って来て綺麗に更新された
古いメーカー製PCだとBIOS更新降って来ないからセキュアブート切るしかない
夏に新しいPC買う予定 ..
少し前メーカー製PCによってはBIOSのメニューにカスタムの選択そのものが無くて
BIOSデフォルトのセキュアブートキーを再読み込みしかできない物もある
UEFI設定入って工場出荷状態にして証明書が消えるかどうかも仕様次第 ..
セキュアブートはいろいろ問題が多い仕組みなのだけど代替手段がないから
主要なゲームでは有効にしていないとチートとみなされるし
個人に関係ないものの、企業が結ぶ保険契約ではマストとされている
そう簡単にOFFにできない事情がある
642
HP ノートPC Mosby動かない
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
...
533
310
庶民向けPCハードウェアなら 無効化を猶予すべき製品と考えるのが妥当 .. ?
Bitlockerを使っていなくて、セキュアブート必須のソフトも使っていない人は何も慌てる必要はない TPMや
CPU内の隔離空間を使うソフトウェアである WindowsHello認証 ローカルパスキー 同期パスキー が使えなくなる .. ?
Dell Technologies Dell
最新コメント