Perubahan besar di Secure Boot Windows mulai berjalan hari ini, dan risikonya justru paling terasa pada PC lama yang tidak ikut migrasi. Perangkat tidak akan langsung berhenti menyala, tetapi lapisan keamanan paling awal di firmware bisa tertinggal jika pembaruan kuncinya gagal diterapkan.
Inti masalahnya ada pada perpindahan dari rantai kunci 2011 ke sertifikat 2023. Microsoft menyiapkan transisi ini sebagai pergantian infrastruktur latar belakang, namun perangkat yang tidak siap bisa kehilangan jalur pembaruan keamanan di level boot.
Apa yang berubah di balik proses boot
Secure Boot bekerja dengan memeriksa perangkat lunak tepercaya sebelum sistem operasi dimuat. Karena itu, perpindahan ke sertifikat 2023 menjadi penting untuk menjaga lapisan keamanan saat PC baru mulai menyala.
Jika sebuah perangkat gagal ikut migrasi, konsekuensinya tidak langsung terlihat di layar. Yang terdampak adalah pembaruan keamanan pada Windows Boot Manager, basis data Secure Boot, dan daftar revokasi DBX pada perangkat yang belum pindah ke rantai sertifikat baru.
Situasi itu membuka celah bagi ancaman firmware yang sangat spesifik. Salah satu contoh yang disebut adalah BlackLotus bootkit, yang bisa menginfeksi sistem jauh sebelum antivirus tradisional aktif.
Update akan masuk diam-diam, tetapi tidak semua perangkat sama
Bagi sebagian besar pengguna, perubahan ini akan datang lewat Windows Update bulanan. Sistem akan mengganti kunci lama dengan sertifikat Microsoft Corporation KEK 2K CA 2023 tanpa banyak intervensi dari pengguna.
Meski begitu, tenggat berikutnya sudah dekat. Sertifikat Microsoft UEFI CA 2011 dijadwalkan kedaluwarsa dalam tiga hari, pada June 27, sehingga proses transisi belum benar-benar selesai setelah hari ini berlalu.
PC modern yang dibuat mulai 2024 umumnya sudah membawa kunci yang lebih baru dari pabrik. Artinya, perangkat seperti ini berada dalam posisi yang lebih siap menghadapi peralihan sertifikat Secure Boot.
Perangkat lama berpotensi perlu langkah manual
Masalah lebih besar muncul pada perangkat lama dan rakitan khusus. Sejumlah arsitektur motherboard lawas disebut memerlukan flashing BIOS manual agar bisa mendukung ukuran kunci kriptografis yang lebih besar dari sertifikat 2023.
Teknisi juga melaporkan tingkat kegagalan yang lebih tinggi pada mesin Windows 11 yang sebelumnya memakai jalan pintas untuk melewati pemeriksaan CPU atau TPM. Kondisi ini membuat migrasi tidak terasa sama untuk semua perangkat, meski tujuannya seragam.
Kenapa pengguna Windows perlu memperhatikan ini
Banyak pengguna mungkin tidak melihat perubahan apa pun hari ini karena PC tetap boot normal. Namun, Secure Boot bekerja sebelum Windows tampil di layar, sehingga kegagalan migrasi baru terasa ketika perangkat kehilangan akses pada pembaruan keamanan paling dasar.
Karena itu, fokus utamanya bukan gangguan langsung, melainkan kesiapan perangkat menghadapi patch berikutnya. Jika sebuah PC tidak ikut beralih ke rantai sertifikat baru, perlindungan terhadap ancaman firmware akan semakin lemah seiring waktu.