Ulaşım
- Adres:2342 Sk, İpekyol, İpek Ap 49A, 63250 Haliliye/Şanlıurfa
- Telefon:
0542 315 45 37
0545 528 88 93 - eMail: info@alestaweb.com
2026 yazinda Windows dunyasini sarsan bir guvenlik krizi kapida: Secure Boot sertifikalari (Secure Boot certificates) sona eriyor. Microsoft'un 2011 yilinda olusturdugu UEFI sertifikalari 15 yillik omurlerini tamamliyor ve 26 Haziran 2026 itibariyla gecersiz hale gelecek. Alesta Web olarak bu kritik durumu tumuyle ele aliyoruz. Guncelleme yapmazsaniz sisteminiz calismaya devam eder ama guvenlik seviyeniz ciddi olcude duser. Bu rehberde sertifika krizinin ne oldugunu, sisteminizi nasil kontrol edeceginizi ve adim adim guncelleme surecini bulacaksiniz.
Secure Boot, bilgisayarinizin acilis surecinde yalnizca guvenilir yazilimlarin yuklenmesini saglayan bir UEFI guvenlik mekanizmasidir (UEFI security mechanism). Bu mekanizma, dijital sertifikalar kullanarak isletim sistemi ve surucilerin kimligini dogrular. Peki simdi ne oluyor? Microsoft'un 2011 yilinda olusturdugu ve tum Windows bilgisayarlara yuklenen sertifikalar 15 yillik omurlerini tamamliyor. Bu durum, guvenlik dunyasinda Secure Boot sertifika krizi (Secure Boot certificate expiration crisis) olarak adlandirilmaktadir.
Alesta Web ekibi olarak bu konuyu yakindan takip ediyoruz. Sorun su: Bu sertifikalar sona erdiginde, yeni guvenlik guncellemeleri ve ucuncu parti yazilimlar icin guven zinciri kirilir. Yani bilgisayariniz bir anda kapanmaz ama guvenlik kalkani zayiflar. Dusunun ki evinizin alarm sistemi calisiyor ama sensirler artik yeni tehditleri algilayamiyor. Iste tam olarak bu oluyor.
Microsoft bu duruma hazirlaniyor ve Windows UEFI CA 2023 adinda yeni nesil sertifikalar yayinladi. Ancak gecis sureci otomatik olarak her bilgisayarda tamamlanmiyor. Alesta Web olarak size bu gecis surecini en basit haliyle anlatacagiz.
Microsoft'un 2011 yilinda olusturdugu dort ana sertifika farkli tarihlerde sona eriyor. Asagidaki tabloda tum sertifikalarin bitis tarihlerini ve etkilerini gorebilirsiniz:
| Sertifika Adi | Bitis Tarihi | Etki Alani |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 Haziran 2026 | Sertifika degisim yetkilisi (Key Exchange Key) |
| Microsoft Corporation UEFI CA 2011 | 27 Haziran 2026 | Ucuncu parti UEFI surucileri ve uygulamalari |
| Microsoft Option ROM UEFI CA 2011 | 27 Haziran 2026 | Donanim Option ROM imzalari |
| Microsoft Windows Production PCA 2011 | 19 Ekim 2026 | Windows Boot Manager imzalari |
Ilk iki sertifikanin sona ermesiyle birlikte Haziran 2026 sonu en kritik esik. KEK CA sertifikasi bittiginde yeni sertifika guncellemeleri yapilamaz hale gelir. Bu nedenle Alesta Web olarak guncellemeyi Haziran'dan once yapmanizi siddetle oneriyoruz.
Gordugumuz gibi en erken biten sertifika 24 Haziran 2026 tarihinde sona eren KEK CA 2011. Bu sertifika, diger sertifikalarin guncellenmesini saglayan anahtar degisim sertifikasidir (Key Exchange Key certificate). Yani bu sertifika bittikten sonra diger sertifikalari guncellemek de zorlasiyor. Bu yuzden son tarihi beklememek, simdi harekete gecmek en akillica karar olacaktir.
Oncelikle panik yapmayin: bilgisayariniz bir anda calismaz hale gelmeyecek. Ancak guvenlik duvarinizda ciddi gedikler olusacak. Alesta Web olarak risklerini net olarak siralayalim:
Cihaziriniz calismaya devam eder, Windows acilir ve normal kullanim etkilenmez. Ancak arka planda guvenlik seviyeniz ciddi olcude duser. Bunu su sekilde dusunun: arabaniz calisiyor ama hava yastiklarinin suresi dolmus. Kaza olana kadar fark etmezsiniz ama bir sorun oldugunda sizi koruyamaz.
Ozellikle kurumsal ortamlarda (enterprise environments) bu durum cok daha kritik. Bir sirket agindaki yuzlerce bilgisayarin Secure Boot sertifikalari guncellenmemisse, bu buyuk bir guvenlik acigi olusturur ve uyumluluk denetimlerinde (compliance audits) basarisizliga yol acar.
Harekete gecmeden once sisteminizin mevcut durumunu ogrenmemiz gerekiyor. Alesta Web size iki farkli yontemle kontrol yapmayi gosteriyor:
Nisan 2026 itibariyle Windows Security uygulamasi Secure Boot durumunu dogrudan gosteriyor:
Daha detayli bilgi icin PowerShell'i yonetici olarak (Run as Administrator) acin ve su komutu calistirin:
# Yeni sertifikanin yuklu olup olmadigini kontrol et
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match 'Windows UEFI CA 2023'
Sonuc Yorumlama:
True - Yeni sertifika yuklu, guvendesiniz!False - Yeni sertifika henuz yuklenmemis, guncelleme yapmaniz gerekiyor.# Mevcut Secure Boot degiskenlerini listele
Get-SecureBootUEFI -Name db | Format-List
# KEK sertifikalarini kontrol et
Get-SecureBootUEFI -Name KEK | Format-List
# Secure Boot durumunu dogrula
Confirm-SecureBootUEFI
PowerShell komutunun True donmesi, sisteminizde Windows UEFI CA 2023 sertifikasinin yuklu oldugunu ve guncelleme yapmaniza gerek olmadigini gosterir.
Microsoft, sertifika gecis surecini mumkun oldugunca kolaylastirmak icin KB5081494 guncellemesini yayinladi. Bu guncelleme otomatik olarak eski sertifikalari yenileriyle degistirir. Alesta Web olarak en kolay cozumun bu oldugunu belirtmek isteriz.
# Guncellemenin yuklu olup olmadigini kontrol edin
Get-HotFix -Id KB5081494
# Windows Update gecmisinde arayin
Get-WmiObject -Class Win32_QuickFixEngineering | Where-Object {$_.HotFixID -eq "KB5081494"}
Bu guncelleme soyle calisiyor: Once eski sertifikalarin yanina yeni Windows UEFI CA 2023 sertifikasini ekler. Ardindan yeni sertifikayla imzalanmis bile senlerin taninmasini saglar. Islem tamamen otomatiktir ve genellikle bir yeniden baslatma sonrasinda tamamlanir.
KB5081494 guncellemesini yuklemeden once OEM firmware guncellemenizin yapilmis olmasini siddetle oneriyoruz. Firmware eski kalirsa bazi sistemlerde uyumsuzluk yasamaniz mumkun. Detaylar icin asagidaki OEM Firmware bolumune bakin.
Eger otomatik guncelleme calismazsa veya Windows Update'e erisemiyorsaniz, sertifikalari manuel olarak da guncelleyebilirsiniz. Alesta Web olarak adim adim rehber sunuyoruz:
Microsoft'un resmi Secure Boot guncelleme sayfasina gidin:
https://aka.ms/GetSecureBoot
Bu sayfa sisteminize ozel talimatlari ve indirme baglantilarini icerir.
# Microsoft Update Katalog'dan KB5081494'u indirin
# https://www.catalog.update.microsoft.com adresine gidin
# Arama kutusuna "KB5081494" yazin
# Sisteminize uygun surumu indirin (.msu dosyasi)
# Indirilen dosyayi PowerShell ile yukleyin
wusa.exe "C:\Users\KullaniciAdi\Downloads\KB5081494-x64.msu" /quiet /norestart
# Bilgisayari yeniden baslatin
Restart-Computer
# Yeniden baslatmadan sonra dogrulayin
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match 'Windows UEFI CA 2023'
# True donmeli
PowerShell komutu True dondugunde, manuel guncelleme basarili sekilde tamamlanmis demektir. Artik sisteminiz yeni sertifikalarla korunuyor.
Bu adim cok onemli ve genellikle gozden kaciriliyor. Alesta Web olarak ozellikle vurguluyoruz: once firmware guncellemenizi yapin, sonra sertifika guncellemesini uygulatin. Firmware guncellenmeden yapilan sertifika guncellemeleri bazi bilgisayarlarda sorunlara yol acabilir.
BIOS/UEFI firmware guncellemesi (UEFI firmware update), anakart ureticisinin Secure Boot degiskenlerini yeni sertifikalarla uyumlu hale getirmesini saglar. Bu adimi atlamak bazi sistemlerde acilis sorunlarina neden olabilir.
# Sistem bilgilerini goruntuleyin
Get-ComputerInfo | Select-Object CsManufacturer, CsModel, BiosSMBIOSBIOSVersion
dell.com/supporthp.com/supportsupport.lenovo.comasus.com/supportmsi.com/supportacer.com/support# Dell Command Update kuruluysa:
# Dell Command Update'i acin ve guncellemeleri denetleyin
# Veya PowerShell ile Dell destek sayfasini acin
Start-Process "https://www.dell.com/support/home"
# Lenovo System Update kuruluysa:
# Lenovo System Update'i acin ve guncellemeleri denetleyin
# Veya Lenovo Vantage uygulamasini kullanin
# Microsoft Store'dan indirilebilir
Bazi ureticiler firmware guncellemelerini Windows Update araciligiyla da dagitir. Ayarlar > Windows Update bolumunden Istege bagli guncellemeler (Optional Updates) kismini kontrol edin. Burada BIOS/UEFI firmware guncellemesi gorebilirsiniz.
Kurumsal ortamlarda (enterprise environments) yuzlerce hatta binlerce cihazin sertifikasini tek tek guncellemek mumkun degil. Alesta Web olarak IT yoneticilerine yonelik toplu dagitim rehberini sunuyoruz:
KB5081494 guncellemesi Microsoft Intune uzerinden merkezi olarak tum cihazlara dagitilabilir (centralized deployment):
intune.microsoft.com# SCCM uzerinden guncelleme dagitimi icin:
# 1. Software Updates > All Software Updates bolumune gidin
# 2. KB5081494'u arayin ve indirin
# 3. Deployment Package olusturun
# 4. Hedef koleksiyona dagitim yapin
# PowerShell ile toplu kontrol scripti:
$computers = Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirket,DC=local"
foreach ($pc in $computers) {
Invoke-Command -ComputerName $pc.Name -ScriptBlock {
$result = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match 'Windows UEFI CA 2023'
[PSCustomObject]@{
ComputerName = $env:COMPUTERNAME
SecureBoot2023 = $result
}
}
}
| Adim | Aciklama | Durum |
|---|---|---|
| 1. Envanter cikarin | Tum cihazlarin Secure Boot durumunu raporlayin | ☐ |
| 2. Firmware kontrolu | OEM firmware surumlerini kontrol edin | ☐ |
| 3. Pilot test | 10-20 cihazlik bir pilot grupta test edin | ☐ |
| 4. Firmware dagitimi | Once OEM firmware guncellemelerini dagitim | ☐ |
| 5. Sertifika dagitimi | KB5081494 guncellemesini dagitim | ☐ |
| 6. Dogrulama | Tum cihazlarda sertifika durumunu dogrulayin | ☐ |
BitLocker kullanan cihazlarda sertifika guncellemesi sonrasi BitLocker kurtarma anahtari (recovery key) istenebilir. Dagitimdan once tum BitLocker kurtarma anahtarlarinin Azure AD veya Active Directory'de yedeklenmis oldugundan emin olun!
Hayir, bilgisayariniz calismaya devam eder. Windows acilir, programlariniz calisiir. Ancak Secure Boot guvenlik guncellemeleri yuklenemez hale gelir ve guvenlik seviyeniz duser. Fiziksel bir arizadan ziyade, guvenlik kalkaninizin zayiflamasi soz konusudur.
Evet. Secure Boot aktifse ve Linux dagitim UEFI imzalari kullaniyorsa, yeni suruciler ve yukleyiciler (bootloaders) etkilenebilir. GRUB ve shim gibi bilesenler Microsoft'un UEFI CA sertifikasiyla imzalanir. Sertifika guncellenmezse yeni imzali bilesenler taninmaz.
Teknik olarak evet, BIOS/UEFI ayarlarindan Secure Boot'u devre disi birakabilirsiniz. Ancak bu hic onerilmez. Secure Boot, rootkit ve bootkit saldirilarina karsi temel koruma saglar. Secure Boot'u kapatmak sorunu cozmez, sadece guvenlik seviyenizi daha da dusurur.
Windows 10 veya Windows 11 calistiran ve Secure Boot destekli tum bilgisayarlar KB5081494 guncellemesini alabilir. Ancak cok eski UEFI firmware'leri yeni sertifikalarla uyumsuz olabilir. Bu durumda once OEM firmware guncellemesi gerekir. Ureticinizin destek sayfasini kontrol edin.
Nadir durumlarda guncelleme sonrasi acilis sorunlari yasanabilir. Bu durumda BIOS/UEFI ayarlarina girin (genellikle F2 veya DEL tusu), Secure Boot ayarlarini kontrol edin ve gerekirse varsayilan anahtarlara sifirlayin (Reset to default keys). Sorun devam ederse ureticinizin destek hattini arayin.
Windows Update gecmisinden kontrol edebilirsiniz: Ayarlar > Windows Update > Guncelleme Gecmisi. Orada KB5081494 gorunuyorsa guncelleme yapilmistir. Ayrica yukarida paylasmis oldugumuz PowerShell komutuyla True sonucu almaniz da guncellemenin basarili oldugunu dogrular.
Windows Secure Boot sertifika krizi (Windows security crisis) ciddi bir guvenlik konusu ama cozumu oldukca basit. Microsoft'un KB5081494 guncellemesiyle sertifikalariniz otomatik olarak yenileniyor. Yapmaniz gereken tek sey: once firmware'inizi guncelleyin, sonra Windows Update'i calistirin.
Hizli Ozet:
Alesta Web olarak guvenliginizi ciddiye aliyoruz. Bu kritik guncellemeyi ertelemeyin. 26 Haziran 2026 tarihinden once tum cihazlarinizi guncelleyin ve guvenli kalin. Daha fazla guvenlik rehberi ve teknoloji haberleri icin alestaweb.com adresini duzenli olarak takip edin.
Faydali Linkler:
© 2026 alestaweb.com - Alesta Web - Tum haklari saklidir.
