Banyak PC Windows masih bisa menyala normal setelah 24 Juni, tetapi lapisan perlindungan boot di perangkat lama mulai masuk fase rawan. Penyebabnya adalah sertifikat Secure Boot era 2011 yang mendekati masa kedaluwarsa, sehingga jalur untuk menerima pembaruan keamanan boot di masa depan makin sempit.
Secure Boot bekerja sangat awal saat komputer dinyalakan. Jika sertifikat lama habis tanpa pengganti yang tepat, perlindungan firmware dapat tertinggal meski sistem operasi tetap berjalan seperti biasa.
Tiga sertifikat masuk masa akhir pakai
Ada tiga sertifikat Microsoft yang terdampak dalam periode ini. Microsoft Corporation KEK CA 2011 berakhir pada 24 Juni, Microsoft UEFI CA 2011 pada 27 Juni, dan Microsoft Windows Production PCA 2011 pada 19 Oktober.
Di antara ketiganya, Microsoft Windows Production PCA 2011 menjadi yang paling krusial. Sertifikat ini digunakan untuk menandatangani bootloader Windows, sehingga tenggat Oktober menjadi titik penting bagi integritas boot dalam jangka panjang.
Microsoft sudah mulai mendorong sertifikat pengganti 2023 melalui Windows Update sejak Januari. Proses itu juga diperluas lewat pembaruan bulanan, termasuk KB5089549 yang dirilis bulan ini.
PC tidak mati, tetapi perlindungan boot melemah
Perangkat yang masih memakai sertifikat kedaluwarsa tidak langsung berhenti booting. Microsoft menyebut PC seperti itu tetap bisa menyala normal dan masih menerima pembaruan Windows standar.
Masalahnya ada pada lapisan keamanan boot yang tidak lagi mendapat jalur pembaruan baru. Perangkat tersebut tidak bisa menerima database Secure Boot yang baru, daftar pencabutan sertifikat, dan tambalan untuk kerentanan baru di level boot.
Situasi ini membuat celah yang menargetkan firmware tetap terbuka jika tidak ada jalur pembaruan yang sesuai. Ancaman seperti BlackLotus menyasar area yang sama, sehingga masa berlaku sertifikat menjadi faktor penting bagi keamanan jangka panjang.
Perangkat lama jadi kelompok paling berisiko
PC Windows 11 di build yang didukung sedang diproses pembaruannya secara otomatis. Tantangan terbesar justru muncul pada perangkat keras yang lebih tua dan mesin Windows 10 yang sudah tidak didukung.
Pengguna Windows 10 di luar program Extended Security Updates tidak akan menerima sertifikat baru. Untuk perangkat seperti itu, tidak ada jalur remediasi setelah 24 Juni.
Sebagian PC lama juga membutuhkan pembaruan firmware dari OEM agar cocok dengan rollout sertifikat Windows. Hal ini diperlukan karena rantai sertifikat baru harus ditambatkan langsung ke firmware UEFI.
Jika produsen sudah berhenti merilis pembaruan firmware, perangkat bisa tetap bertahan di sertifikat 2011 meski Windows sudah terpasang dan diperbarui. Dalam kondisi tersebut, pembaruan sistem operasi saja tidak cukup untuk memindahkan perangkat ke rantai sertifikat baru.
Cara memeriksa status Secure Boot
Status Secure Boot dapat dicek lewat Windows Security, lalu masuk ke Device Security dan membuka bagian Secure Boot. Microsoft juga menyiapkan panduan dukungan KB5062710 untuk menjelaskan arti kedaluwarsa ini dan langkah yang perlu diambil bila pembaruan belum diterapkan.
Microsoft menyarankan pengguna memasang pembaruan terbaru dan memeriksa status melalui KB5062710. Jika sertifikat 2023 belum muncul pada sistem yang sudah sepenuhnya diperbarui, pengguna diminta menghubungi dukungan OEM.
Langkah ini menjadi semakin penting untuk PC yang bergantung pada firmware lama dan dukungan pabrikan yang terbatas. Pada perangkat semacam itu, masa berlaku sertifikat bukan lagi sekadar detail teknis, melainkan penentu apakah jalur perlindungan boot masih bisa diperbarui atau tidak.