Questions fréquentes sur la transition vers Secure Boot

Summary: Cet article fournit des informations sur les questions fréquemment posées concernant l’expiration des certificats Secure Boot.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Systèmes d’exploitation concernés :

  • Windows

Sommaire

Informations générales :

  • Qu’est-ce que la transition vers la clé Secure Boot ?
    • Les certificats Microsoft 2011 Secure Boot actuels commencent à expirer en juin 2026. Celles-ci seront remplacées par une nouvelle chaîne de certificats 2023 : KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
  • Les certificats 2023 sont-ils requis pour installer Windows 11 25H2 ?
    • Non. Les appareils peuvent installer 25H2 à l’aide des certificats 2011.
  • Que se passe-t-il lorsque le certificat Secure Boot actuel expire ?
    • L’ordinateur peut toujours démarrer. Toutefois, avec un certificat expiré, l’ordinateur ne peut pas obtenir les futures mises à jour du chargeur de démarrage ou de Secure Boot.
  • Quelle est la stratégie de Dell en matière de double certification ?
    • Pour faciliter la transition, Dell a commencé à expédier les certificats 2011 et 2023 sur les plates-formes nouvellement lancées fin 2024 et, d’ici la fin 2025, sur toutes les plates-formes de soutien expédiées depuis les usines Dell. Cela permet aux clients Grand Compte disposant d’anciennes images de démarrer des images signées avec l’un ou l’autre des certificats.
  • Quelle est la différence entre les bases de données Secure Boot active et par défaut ?
    • La base de données Active Secure Boot est celle que votre ordinateur utilise au démarrage pour vérifier les logiciels fiables. La base de données Secure Boot par défaut est un jeu de sauvegarde des clés de confiance d’origine qui peut être restauré si nécessaire.
      Bref:
      • Actif : Actuellement appliqué (généralement mis à jour à partir de Windows Update)
      • Par défaut : Version de réinitialisation d’usine non utilisée sauf si restaurée (mise à jour à l’aide d’une mise à jour du BIOS)
      Remarque : Il est important que la base de données Secure Boot par défaut soit mise à jour vers les certificats 2023. Dans le cas contraire, si vous activez le mode Clé experte , les variables actives provenant de Windows Update risquent d’être effacées.
  • Comment la base de données active est-elle mise à jour ?
    • La base de données active peut être mise à jour à l’aide de Windows Update. Cela permet d’éviter les interruptions des fonctions de sécurité telles que BitLocker. Toutefois, si Windows Update n’est pas disponible et que le client est un utilisateur expert, la base de données active peut être remplacée à l’aide d’une commande du BIOS pour réinitialiser les clés. Pour plus d’informations, voir Mise à jour de la base de données active Secure Boot à partir du BIOS .
  • Comment la base de données par défaut est-elle mise à jour ?
    • La base de données par défaut est mise à jour à l’aide d’une mise à jour flash du BIOS.
  • Que se passe-t-il lorsque le certificat Secure Boot actuel expire ?
    • L’ordinateur peut toujours démarrer. Toutefois, avec un certificat expiré, l’ordinateur ne peut pas obtenir les futures mises à jour du chargeur de démarrage ou de Secure Boot.

Retour au début

Ordinateurs Dell et mises à jour :

  • Quels ordinateurs Dell reçoivent des mises à jour du BIOS ?
    • Mises à jour Dell :
      • Plates-formes grand public et commerciales ayant une fin de durée de vie (EoSL) après le 31 décembre 2025, expédiées depuis les usines Dell ou sur site
    • Dell ne met pas à jour :
      • Plateformes dont la date de fin de vie est antérieure au 1er janvier 2026 Cela signifie que, même si Microsoft peut rendre les nouveaux certificats disponibles, le BIOS de ces ordinateurs plus anciens peut ne pas les prendre en charge ou les conserver, en particulier si Secure Boot est activé ou si les paramètres par défaut du BIOS sont réinitialisés.
  • Que fait Dell pour limiter l’impact sur les clients ?
    • Fournir des mises à jour du BIOS pour les plates-formes prises en charge d’ici fin 2025
    • Coordination avec Microsoft sur les outils de récupération
    • Publier des articles de la base de connaissances
    • Mettre à jour le support de démarrage
  • Qu’en est-il de l’impact sur les cartes graphiques tierces et les ordinateurs Linux ?
    • Microsoft a créé deux nouvelles CA tierces 2023 pour remplacer la CA tierce 2011 arrivant à expiration. En d’autres termes, la Microsoft Corporation UEFI CA 2011 a été divisée en Microsoft UEFI CA 2023 (pour les chargeurs de démarrage) et Microsoft Option ROM UEFI CA 2023 (pour les ROM en option). Et des mises à jour ont déjà été apportées au Hardware Device Center (HDC) de Microsoft pour prendre en charge la signature des pilotes tiers qui ont besoin de ces nouvelles autorités de certification 2023. Bien que les partenaires puissent commencer à signer avec les nouvelles CA 2023 en octobre 2025, Microsoft et les OEM continuent de prendre en charge la Microsoft Corporation UEFI CA 2011 existante jusqu’à ce que l’écosystème ait eu suffisamment de temps pour migrer vers les nouvelles CA 2023.
  • Comment un client Grand Compte peut-il obtenir un nouveau certificat 2023 sur son parc actuel d’appareils ?
  • Existe-t-il des exigences matérielles spécifiques pour obtenir ce certificat ?
    • Les appareils doivent prendre en charge Secure Boot et être compatibles avec les mises à jour de firmware UEFI. Dell valide les plates-formes en interne et a publié la liste des ordinateurs pris en charge dans l’article de la base de connaissances Dell Microsoft 2011 Expiration du certificat Secure Boot.

Retour au début

Communication et conseils client :

  • Comment Dell communique-t-il cela aux clients ?
  • Que doivent faire les clients Grand Compte à présent ?
  • Comment un client peut-il savoir s’il dispose d’un certificat de 2011 ou de 2023 ?
    • Microsoft prévoit d’ajouter des notifications à Windows pour les utilisateurs finaux. En outre, les utilisateurs peuvent exécuter la commande PowerShell suivante pour déterminer s’ils disposent des autorités de certification 2011 ou 2023 (méthodologie fournie dans un prochain article de la base de connaissances).
  • Comment un client peut-il savoir si son certificat a expiré ou est sur le point d’expirer ?
    • Ordinateurs avec l’un des trois certificats (AC) devant expirer en 2026 :
      CA 2011 Échéance
      Microsoft Corporation KEK CA 2011 24 juin 2026
      Microsoft Windows Production PCA 2011 19 octobre 2026
      Microsoft Corporation UEFI CA 2011 27 juin 2026
  • Si un client dispose d’un certificat 2023, doit-il agir ?
    • Non. Si les certificats Windows UEFI CA 2023 et Microsoft Corporation KEK 2K CA 2023 sont présents, aucune autre action n’est requise.
  • Un client peut-il passer à un certificat 2023 si ses appareils exécutent Windows 10 et qu’ils disposent ou sont sur le point de souscrire une extension des mises à jour de sécurité (ESU) ?
    • Oui, Microsoft met à jour les certificats actifs pour les appareils Windows 11 dans le champ et mettra à jour les appareils Windows 10 si l’appareil :
      • Exécute Windows LTSC 2021
      • Dispose d’une licence ESU activée

Retour au début

Impact et récupération :

  • Quel est l’impact d’un certificat expiré ?
    • Une fois les certificats Secure Boot expirés (à partir de juin 2026), les ordinateurs continuent de démarrer (avec Secure Boot activé). Toutefois, l’ordinateur ne reçoit plus de mises à jour pour les composants Windows Boot Manager et Secure Boot à l’aide de Windows Update, ce qui les place dans un état de sécurité compromis.
  • Que se passe-t-il si Secure Boot est désactivé ou activé sur un appareil ?
    • Parfois, la désactivation de Secure Boot peut effacer toutes les variables UEFI actives, ce qui signifie que toutes les CA 2023 déjà utilisées sur l’appareil peuvent être effacées (et remplacées ultérieurement par des CA 2011 plus anciennes du firmware par défaut si elles n’ont jamais été mises à jour). Sur les appareils Dell, cela se produit si un utilisateur sélectionne l’option Mode Clé experte dans le menu du BIOS. Dans ce cas, les variables actives sont extraites du firmware par défaut.
      Remarque : Si BitLocker est activé sur l’appareil, vous serez peut-être invité à saisir la clé de récupération BitLocker.
  • Quels sont les outils disponibles pour la récupération ?
    • Microsoft a publié un outil de récupération manuelle, mais il a des limites. Les outils automatisés destinés à aider les clients sont encore en cours de développement.

Retour au début

Coûts et durée :

  • Y a-t-il un coût associé aux nouveaux certificats ?
    • Il n’y a pas de coût direct pour recevoir les certificats 2023 à l’aide de Windows Update, et les autorités de certification 2023 sont déjà disponibles gratuitement dans les Conseils Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.de création et de gestion des clés de démarrage sécurisé Windows. Toutefois, les mises à jour du BIOS pour les appareils hors service peuvent nécessiter une intervention manuelle ou un engagement de service, ce qui peut entraîner des coûts en fonction des contrats de support.
  • Quelle est la durée du nouveau certificat ?
    • Les certificats 2023 sont valables 15 ans (2038).

Retour au début

Article Properties
Article Number: 000390990
Article Type: How To
Last Modified: 12 Nov 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.