Secure Boot-certificaten verlopen: zo gebruik je de nieuwe Windows-waarschuwing correct | Updategids 2026

Als je de afgelopen dagen een kleine maar opvallende melding in je Windows-instellingen hebt gezien – je bent niet alleen. Microsoft draait de schroeven aan, maar gelukkig op een behulpzame manier. Het gaat om het vaak verkeerd begrepen Secure Boot. Om precies te zijn: om de certificaten die aan je pc vertellen welke stuurprogramma's en bootloaders vertrouwd zijn. Deze certificaten hebben een vervaldatum, en die komt voor veel systemen nu gevaarlijk dichtbij. Wie niet op tijd ingrijpt, kan plotseling voor een zwart scherm staan – of erger: voor een pc die weigert Windows te starten.

Waarom waarschuwt Windows plotseling zo luid?

Vroeger kreeg je dit soort kritische meldingen alleen verborgen in het eventlog of helemaal niet. Met de nieuwste updates (die voor Windows 11 en 10 inmiddels vrijwel verplicht zijn) verandert Microsoft de spelregels. Het systeem toont je nu proactief: 'Hé, je Secure Boot-certificaten hebben aandacht nodig.' De melding verschijnt niet als vervelende pop-upreclame, maar netjes geïntegreerd in het Windows-beveiligingscentrum. Wat klinkt als een kleinigheid, is in werkelijkheid een enorme stap. Want veel gebruikers wisten tot nu toe niet eens of hun Secure Boot wel actief is – laat staan dat de onderliggende sleutels na een paar jaar ongeldig worden.

De certificaten die Microsoft sinds Windows 8 uitbrengt, naderen hun einde. Concreet: Oudere Secure Boot-databases (de zogenaamde 'db'- en 'KEK'-items) zijn vanaf een bepaalde datum niet langer geldig. Je computer zou dan onbekende bootloaders of bijgewerkte hardwarestuurprogramma's blokkeren – en dat in het ergste geval precies na een grote Windows-update. De nieuwe waarschuwing is dus je reddingsboei. Hij verschijnt voordat de ramp zich voltrekt en geeft je een duidelijke Secure Boot-gids-instructie: 'Werk nu je BIOS/UEFI bij of installeer de nieuwste cumulatieve update.'

Zo voer je een Secure Boot-review uit op je pc

Wil je niet wachten op de automatische waarschuwing? Geen probleem. Een handmatige Secure Boot-review is snel gepiept. Volg deze checklist om er zeker van te zijn dat je systeem ook na het verlopen van de certificaten netjes opstart:

• Systeeminformatie openen: Druk op Win + R, typ msinfo32 en bevestig. Onder 'Secure Boot-status' moet 'Aan' staan. Staat er 'Uit' of 'Ondersteund, maar uitgeschakeld', start dan naar het UEFI-BIOS (meestal met F2 of Delete tijdens het opstarten) en activeer de optie.
• Windows Update controleren: Ga naar 'Instellingen' > 'Windows Update' > 'Geavanceerde opties' > 'Optionele updates'. Daar vind je vaak aparte firmware-updates die precies deze certificaatvernieuwingen bevatten. Installeer alles wat klinkt als 'Secure Boot' of 'UEFI-intrekking'.
• Gebruik tools van de fabrikant: Dell, Lenovo, HP en co. bieden eigen update-assistenten aan. Download de nieuwste BIOS/UEFI-image – veel apparaten uit 2020 of 2021 hebben de verlengde certificaten al aan boord. Bij oudere modellen (2016–2019) moet je extra goed opletten.

Na een herstart herhaal je de controle in msinfo32. Als de status nog steeds op 'Aan' staat en er geen waarschuwing meer verschijnt, zit je veilig. Mocht er echter een foutmelding verschijnen (bijv. 'Secure Boot-intrekking mislukt'), dan helpt vaak alleen een handmatige reset van de Secure Boot-sleutels naar de fabrieksinstellingen – dat vind je in het UEFI-menu onder 'Secure Boot > Reset to Setup Mode'.

Hoe je Secure Boot correct gebruikt – ook zonder paniek

Veel mensen vragen zich af: 'Moet ik echt leren hoe Secure Boot te gebruiken? Is de normale Windows Defender niet genoeg?' Kort antwoord: Nee. Secure Boot is je eerste verdedigingslinie tegen rootkits en bootkits – dus malware die nog vóór het besturingssysteem laadt. Zelfs als je per ongeluk een geïnfecteerde USB-stick plaatst, voorkomt een correct geconfigureerde Secure Boot dat de schadelijke code je opstartproces overneemt. Microsofts nieuwe waarschuwingsbeleid dwingt je niet tot ingewikkelde handelingen, maar geeft je een vriendelijk duwtje in de rug: 'Doe het gewoon nu.'

Voor power-users die dual-boot met Linux of andere besturingssystemen draaien, kan het verlopen van de certificaten echter vervelend worden. Dan moet je ofwel de nieuwe Microsoft-sleutels handmatig in je eigen Secure Boot-database invoeren (sleutelwoord: mokutil onder Linux) of tijdelijk Secure Boot uitschakelen – wat ik echter alleen als tijdelijke oplossing aanraad. De schone weg is: stap over naar een actuele distributie die de nieuwe Microsoft-certificaten al heeft ondertekend (Ubuntu 24.04 LTS of Fedora 40+ doen dat automatisch).

Eén ding is duidelijk: De tijd van stille certificaatvervallen is voorbij. Microsoft heeft eindelijk begrepen dat beveiliging geen verborgen expertendiscipline mag zijn. Als je de komende weken de gele infobox in je Windows-instellingen ziet, negeer hem dan niet. Open hem, klik op 'Details weergeven' en volg de assistent. Meestal is één herstart met daaropvolgende update voldoende. Je toekomstige zelf – dat niet plotseling voor een niet-opstartende computer staat – zal je dankbaar zijn.