Secure Boot v Linuxu: jak ověřit nové certifikáty Microsoft 2023 před rokem 2026

NÁVODY > KATEGORIE > Bios/Uefi + Hardware a Firmware

20.05.2026

Secure Boot je součást UEFI firmwaru počítače. Pomáhá ověřovat, že se při startu systému spouští pouze důvěryhodný a digitálně podepsaný software. Týká se hlavně zavaděčů operačních systémů, EFI aplikací, některých firmwarových komponent a dalších částí, které se spouštějí ještě před samotným operačním systémem.

V roce 2026 končí platnost části starších Secure Boot certifikátů Microsoftu z roku 2011. To neznamená, že Vám Linux ze dne na den přestane fungovat. Uživatelé Linuxu se proto mohou setkat s otázkou, zda už jejich počítač obsahuje nové Secure Boot certifikáty Microsoft 2023. Tento článek ukazuje, jak to v Linuxu jednoduše ověřit pomocí terminálu.

Ilustrační obrázek k ověření Secure Boot certifikátů v Linuxu pomocí příkazů mokutil, s ukázkou certifikátů Microsoft KEK 2K CA 2023 a Microsoft UEFI CA 2023 před expirací starších certifikátů v roce 2026.

Rychlá navigace:

Důležité: nejde o důvod k panice

Jde především o preventivní kontrolu. Pokud Váš Linux se zapnutým Secure Bootem normálně startuje, není nutné nic bezhlavě měnit. Přesto je rozumné ověřit, zda už počítač obsahuje nové Secure Boot certifikáty z roku 2023.

Microsoft uvádí, že starší certifikáty z roku 2011 jsou nahrazovány novými certifikáty z roku 2023.

Důležité jsou hlavně tyto názvy:

Microsoft Corporation KEK CA 2011 → starý certifikát, platnost do června 2026
Microsoft Corporation KEK 2K CA 2023 → nový certifikát uložený v KEK
Microsoft UEFI CA 2023 → nový certifikát v databázi DB pro zavaděče třetích stran, tedy i pro linuxové zavaděče podepsané prostřednictvím infrastruktury Microsoftu
Microsoft Option ROM UEFI CA 2023 → nový certifikát pro Option ROM komponenty
Windows UEFI CA 2023 → nový certifikát pro Windows Boot Manager

Co je důležité vědět

Certifikáty Secure Boot nejsou uložené jen v Linuxu. Jsou uložené ve firmwaru počítače, tedy v UEFI/NVRAM. Pokud máte dual-boot, může je do počítače doplnit aktualizace z Windows, Linuxu nebo aktualizace firmwaru od výrobce počítače. Tuto skutečnost zmiňuje i přepis videa, ze kterého článek vychází.

U běžného uživatele nejde o důvod k panice. Red Hat k této změně výslovně uvádí, že systémy, které dnes úspěšně startují se Secure Bootem, mají po expiraci certifikátu z roku 2011 nadále startovat; problém se týká hlavně budoucího podepisování a budoucích aktualizovaných boot komponent.

Prakticky řečeno:

pokud Secure Boot nepoužíváte, tato změna pro Vás většinou není akutní,
pokud Secure Boot používáte, je rozumné zkontrolovat, zda už máte nové certifikáty 2023,
pokud nové certifikáty nemáte, nejbezpečnější cestou je běžná aktualizace systému a kontrola aktualizací firmwaru pomocí nástroje fwupdmgr,
nestahujte náhodné certifikáty z internetu a nezkoušejte je ručně vkládat do UEFI bez jasného návodu výrobce.

Podrobnější vysvětlení aktualizace firmwaru v Linuxu najdete v navazujícím článku "Aktualizace FIRMWARE v LINUXU (fwupd + LVFS)".

Jaké databáze Secure Bootu budeme kontrolovat

V tomto článku budeme kontrolovat hlavně dvě databáze:

KEK

KEK znamená Key Enrollment Key. Zjednodušeně řečeno jde o klíče, které mohou autorizovat změny v dalších Secure Boot databázích.

V KEK budeme hledat hlavně:

Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023

Starý certifikát z roku 2011 má platnost do června 2026. Nový certifikát z roku 2023 je náhrada, která má být používána pro další období.

DB je databáze povolených podpisů a certifikátů. UEFI firmware podle ní rozhoduje, co smí při startu počítače spustit.

V DB budeme hledat hlavně:

Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
Microsoft UEFI CA 2023
Windows UEFI CA 2023
Microsoft Option ROM UEFI CA 2023

Pro Linux je důležitý hlavně certifikát Microsoft UEFI CA 2023, protože souvisí se zavaděči třetích stran a EFI aplikacemi. Microsoft u staršího Microsoft UEFI CA 2011 uvádí, že nový Microsoft UEFI CA 2023 slouží k podepisování zavaděčů třetích stran a EFI aplikací.

Instalace potřebných nástrojů

V Zorin OS, Ubuntu, Linux Mintu a Debianu můžete nejdříve ověřit, zda máte nainstalované nástroje mokutil a fwupd.

Použijte:

bash


						sudo apt update
						sudo apt install mokutil fwupd

Nástroj mokutil umí mimo jiné zobrazit stav Secure Bootu a vypsat databáze KEK, DB a DBX. Tyto volby jsou uvedené i v manuálové stránce programu mokutil.

Ověření, zda je Secure Boot zapnutý

Nejdříve zjistěte, zda je Secure Boot zapnutý:

bash


						sudo mokutil --sb-state

Možný výstup:

SecureBoot enabled

To znamená, že Secure Boot je zapnutý.

Jiný možný výstup:

SecureBoot disabled

To znamená, že Secure Boot je vypnutý.

Pokud je Secure Boot vypnutý, počítač při startu systému Secure Boot certifikáty aktivně nepoužívá. Přesto může být vhodné udržovat systém a firmware aktuální.

Kontrola databáze KEK

Nyní zkontrolujte databázi KEK:

bash


						sudo mokutil --kek | grep -iE -A2 -B2 "Microsoft|KEK|2011|2023|2026|2038"

Tento příkaz vypíše řádky obsahující důležité výrazy a zároveň zobrazí několik řádků před a po nalezeném výsledku. Díky tomu je snazší poznat nejen datum platnosti, ale také název certifikátu.

Hledejte hlavně starší certifikát:

Microsoft Corporation KEK CA 2011

a nový certifikát:

Microsoft Corporation KEK 2K CA 2023

Pokud ve výpisu vidíte Microsoft Corporation KEK 2K CA 2023, máte nový KEK certifikát z roku 2023 již uložený ve firmwaru počítače.

Pokud vidíte pouze Microsoft Corporation KEK CA 2011, znamená to, že v databázi KEK je zatím vidět jen starší certifikát z roku 2011.

Kontrola databáze DB

Databázi DB zkontrolujete příkazem:

bash


						sudo mokutil --db | grep -iE -A2 -B2 "Not After.*2026|Not After.*2038|Microsoft|UEFI|2011|2023"

Hledejte hlavně starší certifikáty:

Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011

a nové certifikáty:

Microsoft UEFI CA 2023
Windows UEFI CA 2023
Microsoft Option ROM UEFI CA 2023

Pokud ve výpisu vidíte certifikáty s rokem 2023 a platností do roku 2038, je to dobré znamení. Znamená to, že nové Secure Boot certifikáty už jsou ve firmwaru přítomné.

Pokud vidíte jen certifikáty z roku 2011 s platností do roku 2026, nové certifikáty 2023 zatím pravděpodobně ve firmwaru nejsou.

Praktický test na počítači AceMagic

Tento postup byl prakticky vyzkoušen na fyzickém počítači AceMagic s nainstalovaným Linuxem a zapnutým Secure Bootem.

Kontrola Secure Bootu ukázala:

sudo mokutil --sb-state

Výstup:

SecureBoot enabled

Secure Boot je tedy na testovaném počítači zapnutý.

Výsledek kontroly KEK

Příkaz:

sudo mokutil --kek | grep -iE "Microsoft Corporation KEK 2K CA 2023|Microsoft Corporation KEK CA 2011|2038|2026"

zobrazil:

Not After : Jun 24 20:51:29 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011

To znamená, že v databázi KEK byl nalezen starší certifikát:

Microsoft Corporation KEK CA 2011

s platností do:

24. června 2026

Nový certifikát:

Microsoft Corporation KEK 2K CA 2023

se ve výpisu nezobrazil.

Výsledek kontroly DB

Příkaz:

zobrazil mimo jiné tyto certifikáty:

Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
Validity
Not Before: Jun 27 21:22:45 2011 GMT
Not After : Jun 27 21:32:45 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011

a dále:

Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Validity
Not Before: Oct 19 18:41:42 2011 GMT
Not After : Oct 19 18:51:42 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011

Na testovaném počítači byly tedy v databázi DB nalezeny starší certifikáty:

Microsoft Corporation UEFI CA 2011

s platností do:

27. června 2026

Microsoft Windows Production PCA 2011

s platností do:

19. října 2026

Nové certifikáty:

Microsoft UEFI CA 2023
Windows UEFI CA 2023
Microsoft Option ROM UEFI CA 2023

se ve výpisu nezobrazily.

Závěr praktického testu

Na testovaném počítači AceMagic je Secure Boot zapnutý, ale nové Secure Boot certifikáty Microsoft 2023 zatím nebyly nalezeny. Počítač přesto normálně startuje a Linux funguje.

To je důležité: samotná skutečnost, že nové certifikáty zatím ve výpisu nejsou, neznamená okamžitou chybu systému. Znamená to pouze, že na tomto konkrétním počítači nebyly nové certifikáty při této kontrole nalezeny a nástroj fwupdmgr pro ně v době testu nenabídl dostupnou aktualizaci.

Aktualizace systému

Než začnete řešit firmware, proveďte běžnou aktualizaci systému:

bash


						sudo apt update
						sudo apt upgrade

Po dokončení aktualizací restartujte počítač:

bash


						sudo reboot

Po restartu můžete znovu zopakovat kontrolu:

bash


						sudo mokutil --kek | grep -iE -A2 -B2 "Microsoft|KEK|2011|2023|2026|2038"
						sudo mokutil --db | grep -iE -A2 -B2 "Not After.*2026|Not After.*2038|Microsoft|UEFI|2011|2023"

Kontrola aktualizací firmwaru přes fwupdmgr

Nástroj fwupdmgr slouží k práci s aktualizacemi firmwaru v Linuxu. Používá se společně se službou fwupd a databází LVFS. Projekt fwupd uvádí, že v souvislosti se Secure Boot certifikáty je potřeba řešit nejen dbx, ale také položky KEK a DB.

Nejdříve obnovte metadata:

sudo fwupdmgr refresh

bash


						sudo fwupdmgr refresh

Pokud chcete metadata stáhnout znovu vynuceně, můžete použít:

sudo fwupdmgr --force refresh

bash


						sudo fwupdmgr --force refresh

Potom zkontrolujte dostupné aktualizace:

sudo fwupdmgr get-updates

Pokud systém nabídne aktualizace, nejprve si pozorně přečtěte, čeho se týkají. Může jít o aktualizaci BIOSu/UEFI, SSD, firmwaru zařízení nebo databází Secure Bootu.

bash


						sudo fwupdmgr get-updates

Samotnou aktualizaci spustíte příkazem:

sudo fwupdmgr update

bash


						sudo fwupdmgr update

Při aktualizaci firmwaru je vhodné dodržet několik pravidel:

notebook mějte připojený k napájení,
aktualizaci nepřerušujte,
nevypínejte počítač,
nezavírejte víko notebooku,
počítejte s restartem,
po aktualizaci znovu ověřte výsledek pomocí mokutil.

Praktický výsledek fwupdmgr na počítači AceMagic

Na testovaném počítači byl použit příkaz:

sudo fwupdmgr refresh

Výstup:

Metadata is up to date; use --force to refresh again.

Poté byl použit příkaz:

sudo fwupdmgr --force refresh

Výstup:

Updating lvfs
Downloading… [************************************** ]
Successfully downloaded new metadata: 0 local devices supported

Následně byla provedena kontrola dostupných aktualizací:

sudo fwupdmgr get-updates

Výstup:

Devices with no available firmware updates:
• Intel Management Engine
• SSD 990 EVO Plus 2TB
• UEFI Device Firmware
• UEFI Device Firmware
• UEFI Device Firmware
• UEFI dbx
No updatable devices

Stejný závěr se objevil i po příkazu:

sudo fwupdmgr update

Výstup:

To znamená, že fwupdmgr na tomto počítači v době testu nenabídl žádnou dostupnou aktualizaci firmwaru ani Secure Boot databází.

Co znamená položka UEFI dbx ve výpisu fwupdmgr

Ve výpisu se může objevit položka:

UEFI dbx

To ale neznamená, že máte k dispozici aktualizaci nových certifikátů 2023.

Databáze DB a DBX nejsou totéž:

DB obsahuje povolené podpisy a certifikáty,
DBX obsahuje zneplatněné nebo zakázané podpisy.

Pokud fwupdmgr zobrazí položku UEFI dbx, ale zároveň napíše:

No updatable devices

znamená to, že v danou chvíli není přes fwupdmgr dostupná žádná aktualizace.

Co dělat, když nové certifikáty 2023 nenajdete

Pokud ve výpisu nevidíte nové certifikáty 2023 a fwupdmgr žádnou aktualizaci nenabízí, neznamená to, že máte poškozený systém.

Správný postup je:

Udržovat Linux aktuální.
Občas zopakovat kontrolu pomocí mokutil.
Občas zkontrolovat aktualizace přes fwupdmgr.
Sledovat případné aktualizace BIOSu/UEFI od výrobce počítače nebo základní desky.
Neprovádět ruční zásahy do Secure Boot databází bez jasného návodu výrobce.

Red Hat ve své dokumentaci výslovně doporučuje nevynucovat ruční instalaci DB aktualizací a řídit se pokyny výrobce hardwaru. Některé platformy nemusí samostatné aktualizace Secure Boot databází podporovat a mohou vyžadovat schválenou aktualizaci firmwaru.

Kdy může mít tato kontrola význam

Tato kontrola se může hodit hlavně tehdy, když:

používáte Linux se zapnutým Secure Bootem,
plánujete instalaci novější linuxové distribuce,
řešíte dualboot Windows + Linux,
chcete vědět, zda už máte ve firmwaru nové certifikáty 2023,
připravujete počítač na období po roce 2026,
chcete mít přehled o stavu UEFI/Secure Bootu.

Naopak pokud máte Secure Boot vypnutý a Linux používáte bez něj, toto téma pro Vás nemusí být akutní.

Krátké shrnutí

Pro základní kontrolu stačí tyto příkazy:

sudo mokutil --sb-state

sudo mokutil --kek | grep -iE -A2 -B2 "Microsoft|KEK|2011|2023|2026|2038"

Pro kontrolu aktualizací firmwaru:

sudo fwupdmgr refresh
sudo fwupdmgr get-updates

Pokud jsou dostupné aktualizace a rozumíte tomu, co se bude aktualizovat:

sudo fwupdmgr update

Pokud nové certifikáty 2023 nenajdete a fwupdmgr žádnou aktualizaci nenabízí, není nutné panikařit. Udržujte systém aktuální, kontrolu později zopakujte a sledujte případné aktualizace BIOSu/UEFI od výrobce počítače.

Související články na webu Linux pro domácnost

Pokud řešíte Secure Boot při instalaci Zorin OS, může Vám pomoci také článek "Configure Secure Boot při instalaci Zorin OS: kdy zadat heslo a kdy tuto volbu neřešit".
Pokud se Vám po instalaci nebo aktualizaci zobrazí modrá obrazovka MOK Manageru, pokračujte článkem "MOK Manager: Continue boot, špatné heslo a oprava při instalaci Zorin OS".
Pokud hledáte širší přehled návodů k Zorin OS, podívejte se do rozcestníku "Linux Zorin OS – rozcestník návodů".
Podrobnější vysvětlení aktualizace firmwaru v Linuxu najdete v článku "Aktualizace FIRMWARE v LINUXU (fwupd + LVFS)".

Doporučené zdroje

Microsoft Support – oficiální přehled expirace Secure Boot certifikátů 2011 a nových certifikátů 2023.

https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

fwupd dokumentace – příkazy fwupdmgr refresh, fwupdmgr get-updates, fwupdmgr update.

https://fwupd.github.io/libfwupdplugin/fwupdmgr.html

fwupd dokumentace – UEFI Secure Boot Certificates, vysvětlení práce s KEK/db přes Linux a LVFS.

https://fwupd.github.io/libfwupdplugin/uefi-db.html

Manuálová stránka mokutil – volby --sb-state, --kek, --db, --dbx.

https://man.archlinux.org/man/extra/mokutil/mokutil.1.en

Red Hat Developer – Secure Boot certificate changes in 2026, dopady na Linuxové prostředí – vysvětlení dopadů expirace Secure Boot certifikátů na Linuxové systémy.

https://developers.redhat.com/articles/2026/02/04/secure-boot-certificate-changes-2026-guidance-rhel-environments

Přepis části videa „Secure Boot Certificate Expiry (Windows & Linux)“, ze kterého vznikl původní námět na kontrolu pomocí mokutil a fwupdmgr.

https://www.youtube.com/watch?v=_AwzaZmRNsI

PODPOŘTE OTEVŘENÉ NÁVODY A DALŠÍ ROZVOJ WEBU LINUX PRO DOMÁCNOST:

Věřím v otevřené znalosti a v to, že kvalitní návody mají být dostupné bez reklam, rušivých prvků a zbytečného trackingu. Každý článek na webu Linux pro domácnost vzniká na základě rešerše, praktického testování na reálném nebo virtuálním počítači, ověřování v různých linuxových distribucích a pečlivého zpracování krok za krokem. Často jde o práci na několik hodin, někdy i několik dnů.

Pokud Vám některý návod pomohl, ušetřil čas nebo usnadnil řešení problému, budu rád za dobrovolnou finanční podporu. A pokud se Vám myšlenka tohoto webu líbí a chcete jeho tvorbu podporovat pravidelně, podívejte se prosím na stránku:

„SPONZOŘI webu LINUX pro DOMÁCNOST“.