Un certificat fondamental lié aux exigences matérielles de Windows 11 va expirer prochainement, ce qui a suscité des inquiétudes chez certains utilisateurs et observateurs du système. Ce certificat est utilisé pour valider la conformité des machines avec les exigences de démarrage sécurisé (Secure Boot) imposées par Microsoft. Heureusement, Microsoft indique que cela ne compromettra ni la compatibilité, ni la sécurité, mais le sujet mérite quelques éclaircissements.
Table des matières
Quel est ce certificat qui va expirer ?
Le certificat en question fait partie du UEFI Secure Boot DBX (Revoked Signature Database). Il est utilisé pour bloquer le démarrage de composants non approuvés au niveau du firmware, ce qui empêche des logiciels malveillants (comme les bootkits) d’être chargés avant même Windows.
Plus précisément, il s’agit d’un certificat de signature de confiance permettant de vérifier les binaires EFI légitimes (les fichiers qui lancent le démarrage de Windows). Microsoft a utilisé ce certificat dans les phases initiales du développement de Windows 11 pour vérifier que les PC étaient capables d’utiliser le Secure Boot, une des exigences majeures de Windows 11 avec le TPM 2.0.
Ce certificat était intégré dans certains pilotes de validation internes et dans les outils d’auto-test de compatibilité (HSTI) utilisés par les OEM et certains utilisateurs techniques.
Pourquoi son expiration a-t-elle soulevé des inquiétudes ?
Ce certificat expire le 24 juillet 2025. Plusieurs membres de la communauté tech ont soulevé un point important : qu’adviendra-t-il des PC validés à l’aide de ce certificat si celui-ci est révoqué ou n’est plus considéré comme fiable ?
Cela a conduit certains à craindre que :
- des systèmes valides deviennent incompatibles après cette date,
- ou que certaines fonctions comme le Secure Boot échouent à se lancer correctement.
Microsoft rassure : pas de risque pour les utilisateurs
Microsoft a officiellement répondu aux interrogations. L’entreprise affirme que l’expiration de ce certificat ne perturbera pas le fonctionnement de Windows 11, ni les mécanismes de Secure Boot déjà en place. L’explication tient à ceci :
Le certificat concerné a été utilisé uniquement durant les phases de vérification des exigences matérielles. Il n’est pas exploité dans les binaires de démarrage actuels du système, ni dans la chaîne de confiance active au quotidien.
En d’autres termes : si votre PC est déjà certifié conforme à Windows 11, vous n’avez rien à faire. Le Secure Boot continuera de fonctionner normalement et votre système ne sera pas rétrogradé ou bloqué.
Et pour les OEM ou professionnels de l’intégration ?
Les constructeurs et intégrateurs qui utilisent encore des outils de validation basés sur ce certificat devront mettre à jour leurs chaînes de test et outils HSTI avant l’été 2025. Microsoft publiera de nouveaux outils de certification adaptés, sans dépendance au certificat expirant.
Cela concerne principalement :
- les OEM qui fabriquent des PC labellisés « Windows 11 ready »,
- les équipes IT qui automatisent la validation de parc via des scripts ou des outils UEFI.
| Date d’expliration | Expiration du certificat | Certificat actualisé | Ce qu’il fait | Lieu de stockage |
|---|---|---|---|---|
| Juin 2026 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Signe les mises à jour de DB et DBX | Key Enrollment Key (KEK) |
| Microsoft Corporation UEFI CA 2011 (ou une autorité de certification UEFI tierce)* | Microsoft Corporation UEFI CA 2023 Microsoft Option ROM UEFI CA 2023 | Signe les composants tiers du système d’exploitation et des pilotes matériels Signale les ROM optionnelles tierces | Allowed Signature database (DB) | |
| Octobre 2026 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Signe le chargeur d’amorçage Windows et les composants d’amorçage |
Conclusion
Bien que l’expiration de ce certificat ait pu paraître inquiétante au premier abord, il s’agit d’un composant interne de validation utilisé en amont, et non d’un élément actif dans la chaîne de démarrage du système. Microsoft précise qu’il ne sera pas révoqué et qu’aucune fonctionnalité de sécurité ne sera affectée. Les utilisateurs peuvent donc continuer à utiliser leur PC Windows 11 en toute sérénité.
Pour ces appareils, Microsoft offre une assistance limitée, décrite en détail dans l’article de blog. Vous pouvez également suivre les mises à jour du certificat Windows Secure Boot dans un document d’assistance récemment publié. Un article plus générique est mis à disposition par Microsoft : Windows Secure Boot certificate expiration and CA updates