Ancaman terbesar dari berakhirnya masa berlaku Secure Boot hari ini bukan gangguan langsung pada PC, melainkan risiko perangkat lama tertinggal dari pembaruan keamanan di level paling awal saat booting. Jika migrasi ke sertifikat 2023 gagal, Windows tidak lagi bisa memperbarui Windows Boot Manager, basis data Secure Boot, dan daftar revokasi DBX pada perangkat tersebut.
Peralihan ini menandai bergesernya rantai kunci 2011 yang selama ini dipakai miliaran motherboard menuju sertifikat 2023 yang lebih baru. Microsoft memang tidak menyiapkan pemutusan mendadak, karena sebagian besar PC tetap bisa menyala normal dan aplikasi masih berjalan seperti biasa selama transisi berlangsung.
Mengapa lapisan ini penting
Secure Boot bekerja sebelum sistem operasi dimuat dan bertugas memeriksa perangkat lunak tepercaya saat PC dinyalakan. Karena berada di lapisan paling awal, perubahan sertifikat menjadi penting untuk menjaga perlindungan terhadap ancaman firmware yang sulit dideteksi oleh keamanan tradisional.
Salah satu risiko yang disorot adalah bootkit seperti BlackLotus, yang dapat menyusup sebelum antivirus sempat aktif. Kondisi ini membuat kegagalan migrasi bukan sekadar masalah administratif, tetapi juga celah keamanan yang bisa membesar seiring waktu.
Update akan masuk diam-diam, tetapi tidak merata
Bagi banyak pengguna, pembaruan akan datang melalui jalur Windows Update bulanan tanpa perlu langkah khusus. Sistem akan mengganti kunci lama dengan Microsoft Corporation KEK 2K CA 2023, sehingga perubahan berlangsung di belakang layar.
Namun, tidak semua perangkat berada dalam kondisi yang sama. PC modern yang dibuat mulai 2024 umumnya sudah membawa kunci yang lebih baru dari pabrik, sehingga lebih siap menghadapi peralihan ini dibandingkan mesin yang lebih tua.
Perangkat lama bisa membutuhkan bantuan manual
Masalah terbesar muncul pada perangkat lama dan rakitan khusus. Sejumlah motherboard lawas disebut memerlukan flashing BIOS manual agar mampu mendukung ukuran kunci kriptografis yang lebih besar dari sertifikat 2023.
Teknisi juga melaporkan tingkat kegagalan yang lebih tinggi pada mesin Windows 11 yang sebelumnya memakai jalan pintas untuk melewati pemeriksaan CPU atau TPM. Situasi itu membuat transisi terasa lebih sulit bagi sebagian perangkat, meski tujuan akhirnya tetap sama.
Tenggat berikutnya sudah dekat
Peralihan ini belum selesai setelah hari ini berlalu, karena sertifikat Microsoft UEFI CA 2011 dijadwalkan kedaluwarsa dalam tiga hari, pada June 27. Artinya, proses migrasi masih akan terus berlanjut dan menjadi penentu kesiapan perangkat menghadapi patch keamanan berikutnya.
Bagi pengguna Windows, hal yang paling penting bukan apakah PC langsung berhenti bekerja, melainkan apakah perangkat masih mampu menerima pembaruan keamanan di level boot. Jika sebuah PC tertinggal dari rantai sertifikat baru, perlindungan terhadap ancaman firmware akan semakin lemah dari waktu ke waktu.