Stel je voor: je zet je computer aan, alles laadt netjes op, en je denkt dat alles in orde is. En toch klopt er iets niet. Ergens diep in je pc, ver voor Windows zelfs maar wakker is, loopt een beveiligingsslot op zijn einde. En de meeste mensen weten dat niet eens.
Microsoft heeft vorige maand een opvallende waarschuwing uitgestuurd: de Secure Boot-certificaten waarmee miljoenen Windows-pc’s al meer dan tien jaar beveiligd opstarten, verlopen in juni 2026. Ze noemen het zelf “één van de grootste gecoördineerde inspanningen voor beveiligingsonderhoud” die ze ooit hebben gelanceerd.
Klinkt technisch? Dat is het ook een beetje. Maar het raakt jou, zeker als je een wat oudere pc hebt of nog op Windows 10 zit.
We leggen het hieronder helder uit: wat er juist verloopt, wat er dan mis kan gaan, en of jij nu al iets moet doen.
Eerst even dit: wat doet Secure Boot eigenlijk?
Voordat je pc opstart, nog voor je bureaublad verschijnt, nog voor je antivirusprogramma actief is, doorloopt je computer een reeks veiligheidscontroles. Secure Boot is één van die controles. Het kijkt of alle software in die opstartreeks correct digitaal ondertekend is en dus “vertrouwd” mag starten.
Dat klinkt abstract, maar het is enorm waardevol. Hackers hebben namelijk ontdekt dat als ze bootkits of malware kunnen injecteren voor Windows wakker wordt, ze nagenoeg onzichtbaar zijn voor antivirussoftware. Secure Boot sluit die deur.
Die digitale handtekeningen worden geverifieerd aan de hand van certificaten die in de firmware van je pc zitten opgeslagen. En die certificaten dateren nog uit 2011.
Wat verloopt er precies en wanneer?
Microsoft heeft drie kerncertificaten die al sinds Windows 8 meedraaien en die nu hun vervaldatum naderen:
| Wat verloopt | Wanneer |
|---|---|
| Microsoft Corporation KEK CA 2011 | Juni 2026 |
| Microsoft UEFI CA 2011 (third-party) | Juni 2026 |
| Microsoft Windows Production PCA 2011 | Oktober 2026 |
Ze worden vervangen door nieuwe 2023-versies. Het goede nieuws: pc’s die je sinds 2024 hebt gekocht, hebben die nieuwe certificaten in de meeste gevallen al meegekregen vanuit de fabriek. Microsoft zegt zelfs dat bijna alle toestellen die in 2025 zijn verscheept, al volledig klaar zijn.
Oudere toestellen hebben een update nodig, en daar wringt soms het schoentje.
Wat als er niets gebeurt?
Hier zijn we duidelijk over, want er gaan wat misverstanden de ronde: je pc gaat niet plots niet meer opstarten eind juni 2026. Microsoft bevestigt dat toestellen zonder de nieuwe certificaten gewoon blijven werken.
Maar, en dit is het deel dat ertoe doet, je toestel kan dan geen nieuwe boot-level beveiligingsupdates meer krijgen. Concreet betekent dat:
- Geen updates meer aan de Windows Boot Manager
- Geen nieuwe revocatielijsten (lijsten van software die niet meer vertrouwd wordt)
- Geen bescherming meer tegen nieuwe bootkits of firmware-aanvallen die na juni 2026 opduiken
Je rijdt met andere woorden verder in een auto waarvan het slot niet meer vervangen kan worden. Vandaag werkt alles nog. Maar elke maand dat er een nieuwe aanvalsmethode opduikt, wordt je bescherming een beetje dunner.
Er is ook een extra valkuil voor wie BitLocker gebruikt (de ingebouwde schijfversleuteling van Windows): als je Secure Boot-instellingen ooit worden gereset op een toestel waarvan de firmware nooit is bijgewerkt, kun je een BitLocker-herstelmelding te zien krijgen. Niet ideaal als je er niet op voorbereid bent.
Moet jij actie ondernemen? Een eerlijke checklist
Gebruik dit als snel overzicht:
Je hebt waarschijnlijk niets te doen als:
- Je pc dateert van 2024 of 2025
- Je Windows 11 gebruikt en updates gewoon binnenkomen
- Secure Boot staat ingeschakeld (check via msinfo32 > “Secure Boot State”)
Let op als:
- Je pc dateert van voor 2023
- Je Windows Update hebt gepauzeerd of handmatig uitgeschakeld
- Je nog geen firmware/BIOS-update hebt ontvangen van je fabrikant
Pak dit nu aan als:
- Je nog op Windows 10 zit (meer hierover hieronder)
- Je een pc hebt waarvan de fabrikant geen updates meer levert
- Je BitLocker gebruikt en de recovery key niet weet te vinden
Wat je sowieso best doet:
- Controleer of Secure Boot aanstaat: druk op de Windows-knop, zoek naar “Systeeminformatie” en kijk bij “Secure Boot State”. Staat er “Aan”? Dan ben je al een stap verder.
- Zorg dat Windows Update actief is en niet gepauzeerd staat. Microsoft levert de nieuwe certificaten via de gewone updatekanalen, gefaseerd tot juni 2026.
- Installeer firmware/BIOS-updates van je fabrikant (Dell, HP, Lenovo, Asus… ze werken allemaal mee). Dit is de basis waarop alles rust.
- Heb je BitLocker? Zorg dat je je herstelsleutel kent. Microsoft erkent dat je in uitzonderlijke gevallen een herstelmelding kunt krijgen na de certificaattransitie.
- Zet Secure Boot niet uit als “snelle oplossing”. Microsoft raadt dat expliciet af, het verlaagt je bescherming en lost niets op.
Speciaal voor Windows 10-gebruikers: dit moet je weten
Hier zijn we eerlijk: Windows 10 is een aandachtspunt.
De officiële ondersteuning voor Windows 10 stopte op 14 oktober 2025. Dat betekent: geen nieuwe beveiligingsupdates meer, en dus ook geen Secure Boot-certificaatupdates, tenzij je je hebt ingeschreven voor Extended Security Updates (ESU).
Voor particulieren in de Europese Economische Ruimte (waaronder België) is er goed nieuws: je kunt gratis een extra jaar ESU-updates krijgen tot 13 oktober 2026, maar alleen als je:
- Ingelogd bent met een Microsoft-account
- Regelmatig blijft inloggen (anders kunnen updates na maximaal 60 dagen worden stopgezet)
Voor kleine ondernemingen ligt het anders. Microsoft is heel duidelijk: het consumer ESU-programma is niet bedoeld voor commerciële situaties. Heb je toestellen die aan een bedrijfsdomein of MDM-systeem (zoals Intune) hangen? Dan kom je waarschijnlijk niet in aanmerking voor de gratis optie en moet je een andere ESU-licentie regelen, of overstappen.
Kort gezegd: als je zaak nog draait op Windows 10-toestellen zonder duidelijk ESU-plan, loop je tegen problemen aan, niet alleen rond Secure Boot, maar op alle vlakken van beveiliging.
Wat als je fabrikant geen updates meer levert?
Dit is een scenario dat we in de praktijk regelmatig zien: een pc van vijf, zes jaar oud, die perfect draait, maar waarvan de fabrikant al een paar jaar geen nieuwe firmware meer uitbrengt.
Microsoft geeft toe dat sommige toestellen een OEM-firmware-update nodig hebben om de nieuwe certificaten correct te kunnen toepassen. Zonder die update, zelfs als Windows netjes updatet, blijft de firmware op de “oude baseline” staan.
Dat wil niet automatisch zeggen dat je toestel onveilig is of onmiddellijk vervangen moet worden. Maar het betekent wel dat er een moment komt waarop de beveiligingsbasis van dat toestel niet meer kan groeien. Voor privégebruik is dat een afweging die je zelf maakt. Voor een zaak willen we dat je die afweging bewust maakt, niet verrast.
De conclusie
De Secure Boot-certificaatwisseling van 2026 is geen paniekscenario. Voor de meeste mensen met een recente pc en actieve Windows Update is er weinig tot niets te doen. Microsoft rolt de updates gefaseerd en gecontroleerd uit.
Maar voor wie nog op Windows 10 zit, een wat oudere pc heeft of al een tijdje geen firmware-updates heeft geïnstalleerd: dit is het moment om dat even te bekijken. Niet morgen, niet volgend jaar, nu, zodat je er in juni 2026 gewoon niet aan hoeft te denken.
Twijfel je of jouw pc klaar is? Of wil je weten of jouw toestellen op kantoor de overgang goed gaan doorstaan? Stuur ons gerust een berichtje, we kijken het graag samen met jou na.
